{"id":9478,"title":"\u0427\u0435\u043c \u0431\u043e\u043b\u044c\u0448\u0435 \u0442\u0440\u0430\u0442\u0438\u0448\u044c, \u0442\u0435\u043c \u0431\u043e\u043b\u044c\u0448\u0435 \u043d\u0430\u043a\u043e\u043f\u0438\u0448\u044c","url":"\/redirect?component=advertising&id=9478&url=https:\/\/vc.ru\/promo\/317067-korotko-nakopitelnyy-schet-stavka-po-kotoromu-zavisit-ot-summy-trat&placeBit=1&hash=d207611bc9f0e6594fdffbb28a750052a6fdd69fcd26c1c4f03600bcfe768326","isPaidAndBannersEnabled":false}

Из-за уязвимости «ВКонтакте» сообщества и профили распространили фальшивую новость о рекламе в сообщениях Статьи редакции

В соцсети сообщили, что нашли уязвимость и устраняют её. Авторы рассылки говорят, что акция была местью за невыплату награды хакерам.

В официальных сообществах «ВКонтакте», а также в других группах и на страницах пользователей вечером 14 февраля стали появляться сообщения о «запуске рекламы в личных сообщениях». Все они содержат одну строчку текста и ссылку, похожую на новость.

Проверка vc.ru показала, что если администратор сообщества нажимает на это объявление, то такая же ссылка появляется и в группе под его управлением. «ВКонтакте» сообщила, что «оперативно решает проблему», не сообщив других подробностей.

Текст в публикации и заголовок ссылки постоянно меняются. Ссылка ведёт на вики-страницу, которая открывается поверх верифицированного сообщества «Команда ВКонтакте». Текст страницы копирует публикацию из блога rzhaka в LiveInternet. В публикации на LiveInternet есть несколько ссылок, которые ведут на разные картинки, опубликованные на серверах «ВКонтакте».

Похожая ситуация произошла в декабре 2017 года — тогда официальные сообщества администрации «ВКонтакте» и другие страницы опубликовали публикацию поддельной страницы «Медузы» о якобы убитом Алексее Навальном. В соцсети тогда сообщили, что устранили уязвимость, но не объяснили, в чём она заключалась.

Обновлено в 20:13. Пресс-служба «ВКонтакте» сообщила, что соцсеть взяла ситуацию под контроль.

Ситуация под контролем, мы начали удалять нежелательные публикации в течение первой минуты после обнаружения уязвимости.

Переход по ссылкам приводил к эффекту волны и дальнейшему распространению публикаций. Уязвимость, которая позволяла выполнять произвольный javascript-код, уже исправляется.

Сообщества не были взломаны, пароли аккаунтов администраторов в безопасности.

Напоминаем хакерам, что за найденную уязвимость они могли заработать деньги с помощью программы HackerOne.

пресс-служба «ВКонтакте»

Обновлено в 21:10. На странице «Багоси», открытой версии сообщества тестировщиков «Багосы», появилось объяснение рассылки. Авторы сообщили, что использовали старую уязвимость, за нахождение которой «ВКонтакте» не выплатила награду.

В статью был встроен скрипт, который постил ссылку во все администрируемые группы и на личную страницу пользователя. Пока пользователь читал текст, он выполнялся, при этом личные данные никуда не утекали.

Кстати, комментарии к записям были составлены из отзывов к программе «ВКонтакте» в Google Play и App Store, а сама статья — из кликбейтных новостей с сайта AKKet (это локальный мем, многие могут не знать, что это за сайт).

Уязвимость использовалась та же, что и год назад (Демократия), тогда сотрудники «ВКонтакте» кинули и не выплатили баунти. В итоге было решено её использовать, но не нанося вред пользователям.

Тогда, после устранения уязвимости, было найдено множество обходов, но мы за них даже «спасибо» не получили. В итоге остался последний обход, который мы берегли целый год.

Сегодня за несколько часов был написан код. Чтобы посты было сложнее сносить антиспамом и записи продержались хотя бы полчаса, заголовок и комментарий подбирались рандомно.

Что ж, шалость удалась. К сожалению, основную группу забанили, но надеемся, что у сотрудников ещё осталось чувство юмора. и её разбанят. Так как уязвимость принадлежала пользователю, который больше не занимается их поиском, это было в последний раз.

публикация сообщества «Багоси»
0
46 комментариев
Популярные
По порядку
Написать комментарий...
Леван Квирквелия

Статья импортируется в ВК из "https://www.liveinternet.ru/users/rzhaka/post449644504/"; (что-то вроде instant view).
Парни нашли дырку и смогли внедрить скрипт, который вызывает share метод API. Кликнул - сделал репост.

Пароль можно не менять. Сам скрипт тут - https://rzhaka.github.io/prikol/yrap.js

Ответить
Развернуть ветку
Пётр Самохин

Эти говноеды отправляют на хакерван, хотя в багосах постоянно пишут, что сначала их предупреждают, и только потом сливают. Наверняка опять написали «спасибо, известно» и обосрались.

Ответить
36
Развернуть ветку
Леван Квирквелия

Статья импортируется в ВК из "https://www.liveinternet.ru/users/rzhaka/post449644504/"; (что-то вроде instant view).
Парни нашли дырку и смогли внедрить скрипт, который вызывает share метод API. Кликнул - сделал репост.

Пароль можно не менять. Сам скрипт тут - https://rzhaka.github.io/prikol/yrap.js

Ответить
30
Развернуть ветку
Sergey Kuznetsov

Вот отформатированный скрипт с комментариями (можно и без них, ведь там уязвимость очевидная, на самом деле) – https://gist.github.com/Amaimersion/a57cfef67c24933a641b4ea8eb503e7e

Ответить
4
Развернуть ветку
Feduard Klimkin
Ответить
3
Развернуть ветку
Амадей

Никогда такого не было, и вот опять

Ответить
27
Развернуть ветку
Ker In

Яндекс уже попался

Ответить
24
Развернуть ветку
Антон Гранд

Уровень сотрудников Яндекс - это отдельный уровень ( на считая топов ).

Ответить
0
Развернуть ветку
Дмитрий

Сначала увидел, что в моем паблике этот пост тоже опубликовали с ошибкой, думаю, редактор неграмотный чудит, исправил опечатку. Потом еще один такой же пост появился с ошибками и трешем, думаю, редактор совсем ахуел, разжаловал его. Потом смотрю это говно у меня на стене появляется...

Ответить
13
Развернуть ветку
Михаил Матюшко

Ложки нашлись, но осадочек остался?

Ответить
15
Развернуть ветку
Евгений Томпсон

Дело было в не в бобине)

Ответить
2
Развернуть ветку
Матвей Матюшко
Ответить
16
Развернуть ветку
Артем Микехин

Пароли администраторов в безопасности.

А что с нашими паролями?)))

Ответить
5
Развернуть ветку
Viktor Nevzorov

- У нас дыра в безопасности.
- Слава богу, хоть что-то у нас в безопасности...

Ответить
16
Развернуть ветку
Мутный корабль

Твой пароль «38обезьянок» в порядке, можно не волноваться

Ответить
4
Развернуть ветку
Andrey Petrosyan

Пацаны за файндфейс2 отомстили

Ответить
11
Развернуть ветку

Комментарий удален

Развернуть ветку
Alexander Viktorovich

И получаешь минусы :-)

Ответить
7
Развернуть ветку
Alexander Zhikh

без обид, но при чём тут откуда вы?

Ответить
4
Развернуть ветку
Виталий Климов

При том, что на Украине ВК и ОК заблокированы =)

Ответить
2
Развернуть ветку
Alexandr Zhitkevich

но все пользуются)

"А следующую нашу миниатюру заблокировал Роскомнадзор. Все нормально, смотрим!" (с) КВН

Ответить
4
Развернуть ветку
Пархат Ташметов

Самые крутые оповещения приходил от официальной бизнес страницы Вк. Что лучше бы Дур0в (именно так было написано) дальше продолжал бы управлять соц сетью 😂

Ответить
3
Развернуть ветку
Юрий Другач

Это и была официальная позиция ВК, но чтобы не палиться, пришлось столько всего навертеть...

Ответить
0
Развернуть ветку
Живой Гоша

Комментарий удален по просьбе пользователя

Ответить
2
Развернуть ветку
Живой Гоша

Комментарий удален по просьбе пользователя

Ответить
0
Развернуть ветку
Дмитрий Седегов

Весело было. VC тоже отметились 😅

Ответить
2
Развернуть ветку
Сергей Милосердов

Помогите Даше найти жёлтую прессу.

Ответить
2
Развернуть ветку
Виталий Асташкин

Произошёл троллинг?

Ответить
0
Развернуть ветку
Петя Иванов

С добрым утром! 4 года читаете и только узнали, что это в одной компании?

Ответить
0
Развернуть ветку
Эдуард Подерский

Возможно взлом был произведен кем-то из akket, статья точно их была из записи , которая была вирусной, но на сайте у них такой статьи не нашлось, но есть подобные https://akket.com/raznoe/111853-vkontakte-zapustila-dobrovolnuyu-reklamu-dlya-polzovatelej.html, в конце, в статье на сайте, точно такой же текст как и в фейковой записи, да написание текста похоже на них!

Ответить
–1
Развернуть ветку
Arthur Niazyan

Кстати, не подскажите ли, как убрать все новости Akket из ленты новостей Android? Это же трешак какой-то, а не сайт. Я их смахиваю, в принципе алгоритм должен запомнить, что вне моих интересов, но нет, каждое утро эта гадость опять лезет в ленту.

Ответить
5
Развернуть ветку
Илья Росинский

Надо не смахивать, а нажать три точечки, там два пункта, что-то вроде "Не интересует <Тема>", "Не показывать новости с сайта <Сайт>"

Ответить
2
Развернуть ветку
Arthur Niazyan

Добрался до телефона. Там появилась теперь кнопка "скрыть" и все новости свернулись. Уже лучше. А вообще буду разбираться, как можно всякую желтуху выпилить из ленты, иногда неплохие статьи с 3dnews попадаются и подобных сайтов, на которые не захожу.

Ответить
0
Развернуть ветку
Эдуард Подерский

К сожалению без понятия, возможно тоже какую-то лазейку нашли, чтобы там постоянно быть

Ответить
1
Развернуть ветку
Юрий Белоножкин

Не юзать Рекомендации вообще. Или Хром. Или Андроид. Меня это в Андроиде раздражало капец как - вроде понимаешь, что эти рекомендации читать не обязательно, но все равно заходишь и читаешь, читаешь, читаешь

Ответить
3
Развернуть ветку
Эдуард Подерский

Их, слава великому компьютерному богу, теперь можно скрыть хотя бы, чтобы они вообще не показывались в мобильной версии хрома

Ответить
4
Развернуть ветку
Viktor Nevzorov

если в хроме на новой вкладке, то просто нажмите "статьи для вас"

Ответить
1
Развернуть ветку
Андрей Иванов

Там же можно выбрать в рекомендациях кликнув по миниатюре с новостью в углу - скрывать этот сайт из списка не показывать новости

Ответить
1
Развернуть ветку
Финский велосипед

Комментарий удален по просьбе пользователя

Ответить
–2
Развернуть ветку
Arthur Niazyan

Спасибо! Буду пробовать сегодня. Я не разбирался как это называется, в Хроме когда открываешь новую вкладку, там восемь миниатюр и новости внизу идут (рекомендации). Пожалуй лучше вообще найти где их скрыть.

Ответить
0
Развернуть ветку
Финский велосипед

Комментарий удален по просьбе пользователя

Ответить
–1
Развернуть ветку
Arthur Niazyan

Спасибо! Иду курить Google Now!

Ответить
0
Развернуть ветку
Ангелина Шнурова

"Напоминаем хакерам, что за найденную уязвимость они могли заработать деньги с помощью программы HackerOne".
Ээ. Что, простите?

Ответить
0
Развернуть ветку

Комментарий удален

Развернуть ветку
Пархат Ташметов
Ответить
0
Развернуть ветку
Юрий Михалыч

Осторожнее надо быть!

Ответить
0
Развернуть ветку
Павел Павлов

Странно что Инстаграм ещё это не реализовал - каждое третье сообщение в директе - реклама. Ну я думаю они уже скоро до этого дойдут.

Ответить
0
Развернуть ветку

Комментарий удален

Развернуть ветку
Читать все 46 комментариев
«Купи сейчас, плати потом»: новая классика или мимолетная мода

Сервис рассрочек рассказывает о новом финтех-тренде.

Потерять канал в телеграме и заодно репутацию? Это легче, чем вы думаете

Всем привет! Меня зовут Альберт Базалеев, я эксперт в сфере информационной безопасности бизнеса. Одно из моих направлений — проект Варежка, это софт, который защищает telegram-каналы и корпоративные telegram-аккаунты от злоумышленников. Сегодня расскажу, какие «дырки» есть в telegram-каналах (которые так любят пиарить здесь на vc.ru) и к чему…

Сайт Tor заблокировали в России после публикации обращения с призывом к пользователям поднять у себя серверы Статьи редакции

Команда сообщила о начале блокировки всей сети с 1 декабря.

Ozon и AliExpress начали задерживать доставку товаров на несколько дней Статьи редакции

Оператор доставки для маркетплейсов объяснил задержки загруженностью дорог в Сибири и на Дальнем Востоке и высоким спросом накануне праздников.

Лидерские качества. 30 полезных материалов для их развития

Наверняка вы не раз слышали фразу: «Саша — прирожденный лидер». Но разве лидерство «дается» с рождения? Конечно, нет. Как и многие навыки и soft skills, лидерские качества можно в себе развить. В этой статье я расскажу, с чего начать путь к лидерству, а еще поделюсь полезными материалами.

Новый дизайн «Секрета фирмы» учтёт пользовательские сценарии потребления и поиска контента

О трендах бизнеса и экономики можно прочесть коротко и ясно в удобных форматах

Увлечение самолётами, которое переросло в бизнес

Предприниматель из Волгограда производит и продаёт по всему миру симуляторы дополненной реальности.

«Яндекс» научил «Алису» генерировать сказки при помощи нейросети Статьи редакции

И научил разговаривать шёпотом.

Мощные сервисы для быстрого машинного обучения: от GPU SuperCloud до суперкомпьютера

В последние три года мы видим рост спроса на технологии искусственного интеллекта (ИИ) и машинного обучения. Они проникли практически во все сферы нашей жизни, начиная от различных колл-центров и городских систем видеонаблюдения, заканчивая системами медицинского скрининга и диагностики заболеваний. Даже для оплаты проезда в столичной подземке…

Его отверг Y Combinator, но признали миллионы пользователей: как работает и зарабатывает криптокошелёк MetaMask Статьи редакции

Сервис приносит материнской фирме ConsenSys сотни миллионов выручки в год, рентабельность составляет почти 100%, а используют его более 20 млн человек. Кто создал кошелёк, с кем он конкурирует и за что его критикуют — в разборе The Generalist.

Презентация MetaMask
«Яндекс» представил «Станцию» второго поколения с новым дизайном и улучшенным звуком Статьи редакции

Колонка поступит в продажу в первой половине 2022 года.

null