Соцсети Philipp Kontsarenko
14 870

Хакер получил доступ к текстам опросов сообществ «ВКонтакте»

Пользователь, зарегистрированный «ВКонтакте» под именем Сергей Романович, обнаружил уязвимость в соцсети, которая позволяет изменять содержимое ответов в голосованиях сообществ.

Например, хакеру удалось получить доступ к ответам в голосовании сообщества «Роскомнадзора» и изменить их текст:

Аналогично с сообществом «Матч ТВ» (на момент публикации заметки публикация была удалена).

По словам хакера, баг в коде соцсети позволяет менять тексты ответов в любом голосовании сообщества — вне зависимости от времени публикации заметки. При этом, согласно правилам «ВКонтакте», автор записи может изменить её текст только в течение 24 часов с момента публикации.

По просьбе vc.ru хакер продемонстрировал уязвимость на примере заметки в сообществе vc.ru:

Хакер уже сообщил об обнаруженной уязвимости представителям соцсети. По его словам, баг не является критичным, однако он не проверял возможность автоматической блокировки сообщества — например, в случае, если в текст ответа подставить ссылку на сайт накрутки.

Представитель «ВКонтакте» сообщил vc.ru, что компания уже знает об уязвимости.

Обновлено 1 января 2016 года в 22:00. Разработчики «ВКонтакте» исправили уязвимость, благодаря которой хакер смог изменить тексты опросов в сообществах

#новость #ВКонтакте #баг #сообщества

{ "author_name": "Philipp Kontsarenko", "author_type": "editor", "tags": ["\u0441\u043e\u043e\u0431\u0449\u0435\u0441\u0442\u0432\u0430","\u043d\u043e\u0432\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","\u0432\u043a\u043e\u043d\u0442\u0430\u043a\u0442\u0435","\u0431\u0430\u0433"], "comments": 25, "likes": 23, "favorites": 1, "is_advertisement": false, "subsite_label": "social", "id": 12824, "is_wide": true, "is_ugc": false, "date": "Fri, 01 Jan 2016 20:07:44 +0300" }
{ "id": 12824, "author_id": 4, "diff_limit": 1000, "urls": {"diff":"\/comments\/12824\/get","add":"\/comments\/12824\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/12824"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 199129 }

25 комментариев 25 комм.

Популярные

По порядку

Написать комментарий...
10

На самом деле, баг вполне несложен. В своё время я так троллил админов мелких пабликов, которые злоупотребляли перестановкой вариантов местами (например, меняли Да на Нет и т.д.). Ибо голосуешь, например, что не поддерживешь такую-то идею, а админ раз, и поменял вариант ручками, что ты поддерживаешь. Писал в поддержку, сказали, что так и должно быть, голоса не должны обнуляться при редактировании. Так что пришлось устраивать "самосуд" дебильным админам. А баг заключается в следующем (уже, наверное, пофиксили)

1. Прикрепляем по api опрос с исходными параметрами. Это, кстати, не баг -- чужие опросы на свою стену прикреплять можно с виджета опроса.
2. Полученный опрос отправляем в предложку паблику, где он опубликован (тоже по api)
3. Открываем браузер, редактируем опрос в предложенном посте с него.
4. Открываем исходный пост, наслаждаемся. Предложенный пост в паблике можно удалить

А всего-то повышение привилегии до автора поста.

з.ы. Баг не работает в группах с закрытой стеной без предложки.

Ответить
1

Сказал бы чуть раньше.

Ответить
4

А зачем мне это было говорить? Если бы вк хоть как-то озаботилось тем, что в течение 24 часов варианты можно редактировать как угодно, и твой голос "против" внезапно по воле дебильного админа паблика становится голосом "за", то я бы им баг слил давным-давно. Но что мне ответила поддержка? "Админ расстроится, если при редактировании опроса из-за опечатки все голоса обнулятся" и бла-бла-бла. Естественно, никого за такие шалости не банили, вот я и открыл для себя такое орудие борьбы с нечестными опросами.

Ну а сейчас чувак тупо и безбожно спалил фичу. Да ещё и бабла за это не выручит, ибо эксплуатация бага была направлена против юзеров вк.

Ответить
1

Ты крут, реально крут. Всегда поражался людям, которые так нетривиально мыслят.

Ответить
0

А сейчас работает такая штука?

Ответить

Комментарий удален

–2

По фразе "оп - ***" уже понятно происхождение хацкера.

Ответить

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

8

А я ничего не понял..

Ответить
1

Оп - хуй

Ответить
3

vc, ну пофиксайте вы уже свои баги в апп на андроиде. Молю богов. Алюминь.

Ответить
0

Зачем вообще нужно приложение? Чем оно от сайта отличается?

Ответить
0

Есть пуши, например.

Ответить
–2

Собственно я и пилю например свойц сервис, чтобы можно было получать адекватно пуши от всех сепвисов, а не жрать кактус устанавливая 100500 кривых приложений.
Но с пушами об ответах на комментарии конечно все не так просто - будем парсить почту.

Ответить
1

Не перестарайтесь с PR'ом) А то стоит произнести push, вы тут как тут :)

Ответить
1

Это кстати интересная вещь, мои конкуренты как будто бы вообще не работают. Помню как то написал им комментарий с вопросом в их же свожей статье на мегамозге - они отреагировали на неё через неделю.
Бывало пару раз, когда они чуть ли не через месяц писали ответы на мои комментарии на разных сайтах. Причем у них там похоже покрупнее чем у нас отдел, своя служба поддержки и т.д. а работают медленно :)

Вообще тут еще дело не просто в пиаре, я тут скорее писал со стороны пользователя т.к. я лично получаю от VC пуши через PushAll о выходе статей, и читаю через браузер - вполне комфортно и читать и писать комментарии.

Тут скорее идет личное мнение к приложениям - я еще ни разу не видел приложения СМИ, которое было бы удобнее чем мобильная версия этого же сайта. Более того - они все как правило кривые. Более того, есть компании, которые обещают золотые горы и делают пачками эти приложения для различных СМИ на одном и том же кривом движке под копирку. Как итог, наблюдал даже официальные приложения от сайтов, которые даже 100 скачиваний набрать не могут, и оценка в районе 3. Ну и смысл от таких приложений?

У VC еще кстати решение вроде как неплохое - сами судя по всему сделали для VC и TJournal. Баги если что пофиксят. Но еще интересная вещь - у приложения VC для андроида от 5к до 10к скачиваний, причем это за все время, вполне возможно, что реальных сейчас установленных 1-2 тысячи. (еще и висеть может мертвым грузом) Что для такого популярного сайта так себе цифры.

Ответить
0

Баг не критичен?
Ну значит исправят его через полгода, в лучшем случае. Ave VK.

Ответить

Комментарий удален

1

не угадал

Ответить
0

Так парню выплатили за баг хоть сколько-нибудь?

Ответить
8

Спасибо сказали.

Ответить
1

Очевидно награду он не получит, если по мимо репорта о уязвимости еще успел подшутить над крупными группами?

Ответить
3

Получит, голосами) Сможет закупиться стикерамии подарками.

Ответить
0

Ильдарчик красавчик

Ответить
0

Нет конечно. Пускай радуется, что не забанили,

Ответить
0

Интересно, а вместе с этой уязвимостью они хоть закрыли возможность редактировать опросы после их создания?

Ответить

Комментарий удален

0

Так вот, чем хакеры занимаются в новогоднюю ночь

Ответить
–1

пофиксили (:

Ответить

Комментарий удален

0

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvc" } } }, { "id": 19, "label": "Тизер на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "p1": "cbltd", "p2": "gazs" } } } ]
Нейронная сеть научилась читать стихи
голосом Пастернака и смотреть в окно на осень
Подписаться на push-уведомления