Из-за уязвимости «ВКонтакте» сообщества и профили распространили фальшивую новость о рекламе в сообщениях

В соцсети сообщили, что нашли уязвимость и устраняют её. Авторы рассылки говорят, что акция была местью за невыплату награды хакерам.

В официальных сообществах «ВКонтакте», а также в других группах и на страницах пользователей вечером 14 февраля стали появляться сообщения о «запуске рекламы в личных сообщениях». Все они содержат одну строчку текста и ссылку, похожую на новость.

Из-за уязвимости «ВКонтакте» сообщества и профили распространили фальшивую новость о рекламе в сообщениях

Проверка vc.ru показала, что если администратор сообщества нажимает на это объявление, то такая же ссылка появляется и в группе под его управлением. «ВКонтакте» сообщила, что «оперативно решает проблему», не сообщив других подробностей.

Текст в публикации и заголовок ссылки постоянно меняются. Ссылка ведёт на вики-страницу, которая открывается поверх верифицированного сообщества «Команда ВКонтакте». Текст страницы копирует публикацию из блога rzhaka в LiveInternet. В публикации на LiveInternet есть несколько ссылок, которые ведут на разные картинки, опубликованные на серверах «ВКонтакте».

Похожая ситуация произошла в декабре 2017 года — тогда официальные сообщества администрации «ВКонтакте» и другие страницы опубликовали публикацию поддельной страницы «Медузы» о якобы убитом Алексее Навальном. В соцсети тогда сообщили, что устранили уязвимость, но не объяснили, в чём она заключалась.

Обновлено в 20:13. Пресс-служба «ВКонтакте» сообщила, что соцсеть взяла ситуацию под контроль.

Ситуация под контролем, мы начали удалять нежелательные публикации в течение первой минуты после обнаружения уязвимости.

Переход по ссылкам приводил к эффекту волны и дальнейшему распространению публикаций. Уязвимость, которая позволяла выполнять произвольный javascript-код, уже исправляется.

Сообщества не были взломаны, пароли аккаунтов администраторов в безопасности.

Напоминаем хакерам, что за найденную уязвимость они могли заработать деньги с помощью программы HackerOne.

пресс-служба «ВКонтакте»

Обновлено в 21:10. На странице «Багоси», открытой версии сообщества тестировщиков «Багосы», появилось объяснение рассылки. Авторы сообщили, что использовали старую уязвимость, за нахождение которой «ВКонтакте» не выплатила награду.

В статью был встроен скрипт, который постил ссылку во все администрируемые группы и на личную страницу пользователя. Пока пользователь читал текст, он выполнялся, при этом личные данные никуда не утекали.

Кстати, комментарии к записям были составлены из отзывов к программе «ВКонтакте» в Google Play и App Store, а сама статья — из кликбейтных новостей с сайта AKKet (это локальный мем, многие могут не знать, что это за сайт).

Уязвимость использовалась та же, что и год назад (Демократия), тогда сотрудники «ВКонтакте» кинули и не выплатили баунти. В итоге было решено её использовать, но не нанося вред пользователям.

Тогда, после устранения уязвимости, было найдено множество обходов, но мы за них даже «спасибо» не получили. В итоге остался последний обход, который мы берегли целый год.

Сегодня за несколько часов был написан код. Чтобы посты было сложнее сносить антиспамом и записи продержались хотя бы полчаса, заголовок и комментарий подбирались рандомно.

Что ж, шалость удалась. К сожалению, основную группу забанили, но надеемся, что у сотрудников ещё осталось чувство юмора. и её разбанят. Так как уязвимость принадлежала пользователю, который больше не занимается их поиском, это было в последний раз.

публикация сообщества «Багоси»
5151
46 комментариев

Статья импортируется в ВК из "https://www.liveinternet.ru/users/rzhaka/post449644504/" (что-то вроде instant view).
Парни нашли дырку и смогли внедрить скрипт, который вызывает share метод API. Кликнул - сделал репост.

Пароль можно не менять. Сам скрипт тут - https://rzhaka.github.io/prikol/yrap.js

32

Эти говноеды отправляют на хакерван, хотя в багосах постоянно пишут, что сначала их предупреждают, и только потом сливают. Наверняка опять написали «спасибо, известно» и обосрались.

36

Никогда такого не было, и вот опять

27

Яндекс уже попался

25

Уровень сотрудников Яндекс - это отдельный уровень ( на считая топов ).