Соцсети Andrey Frolov
110 098

Из-за уязвимости «ВКонтакте» сообщества и профили распространили фальшивую новость о рекламе в сообщениях

В соцсети сообщили, что нашли уязвимость и устраняют её. Авторы рассылки говорят, что акция была местью за невыплату награды хакерам.

В закладки
Аудио

В официальных сообществах «ВКонтакте», а также в других группах и на страницах пользователей вечером 14 февраля стали появляться сообщения о «запуске рекламы в личных сообщениях». Все они содержат одну строчку текста и ссылку, похожую на новость.

Проверка vc.ru показала, что если администратор сообщества нажимает на это объявление, то такая же ссылка появляется и в группе под его управлением. «ВКонтакте» сообщила, что «оперативно решает проблему», не сообщив других подробностей.

Текст в публикации и заголовок ссылки постоянно меняются. Ссылка ведёт на вики-страницу, которая открывается поверх верифицированного сообщества «Команда ВКонтакте». Текст страницы копирует публикацию из блога rzhaka в LiveInternet. В публикации на LiveInternet есть несколько ссылок, которые ведут на разные картинки, опубликованные на серверах «ВКонтакте».

Похожая ситуация произошла в декабре 2017 года — тогда официальные сообщества администрации «ВКонтакте» и другие страницы опубликовали публикацию поддельной страницы «Медузы» о якобы убитом Алексее Навальном. В соцсети тогда сообщили, что устранили уязвимость, но не объяснили, в чём она заключалась.

Обновлено в 20:13. Пресс-служба «ВКонтакте» сообщила, что соцсеть взяла ситуацию под контроль.

Ситуация под контролем, мы начали удалять нежелательные публикации в течение первой минуты после обнаружения уязвимости.

Переход по ссылкам приводил к эффекту волны и дальнейшему распространению публикаций. Уязвимость, которая позволяла выполнять произвольный javascript-код, уже исправляется.

Сообщества не были взломаны, пароли аккаунтов администраторов в безопасности.

Напоминаем хакерам, что за найденную уязвимость они могли заработать деньги с помощью программы HackerOne.

пресс-служба «ВКонтакте»

Обновлено в 21:10. На странице «Багоси», открытой версии сообщества тестировщиков «Багосы», появилось объяснение рассылки. Авторы сообщили, что использовали старую уязвимость, за нахождение которой «ВКонтакте» не выплатила награду.

В статью был встроен скрипт, который постил ссылку во все администрируемые группы и на личную страницу пользователя. Пока пользователь читал текст, он выполнялся, при этом личные данные никуда не утекали.

Кстати, комментарии к записям были составлены из отзывов к программе «ВКонтакте» в Google Play и App Store, а сама статья — из кликбейтных новостей с сайта AKKet (это локальный мем, многие могут не знать, что это за сайт).

Уязвимость использовалась та же, что и год назад (Демократия), тогда сотрудники «ВКонтакте» кинули и не выплатили баунти. В итоге было решено её использовать, но не нанося вред пользователям.

Тогда, после устранения уязвимости, было найдено множество обходов, но мы за них даже «спасибо» не получили. В итоге остался последний обход, который мы берегли целый год.

Сегодня за несколько часов был написан код. Чтобы посты было сложнее сносить антиспамом и записи продержались хотя бы полчаса, заголовок и комментарий подбирались рандомно.

Что ж, шалость удалась. К сожалению, основную группу забанили, но надеемся, что у сотрудников ещё осталось чувство юмора. и её разбанят. Так как уязвимость принадлежала пользователю, который больше не занимается их поиском, это было в последний раз.

публикация сообщества «Багоси»

#новость #вконтакте

{ "author_name": "Andrey Frolov", "author_type": "editor", "tags": ["\u043d\u043e\u0432\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","\u0432\u043a\u043e\u043d\u0442\u0430\u043a\u0442\u0435"], "comments": 47, "likes": 143, "favorites": 24, "is_advertisement": false, "subsite_label": "social", "id": 58565, "is_wide": false, "is_ugc": false, "date": "Thu, 14 Feb 2019 19:52:35 +0300" }
{ "id": 58565, "author_id": 14066, "diff_limit": 1000, "urls": {"diff":"\/comments\/58565\/get","add":"\/comments\/58565\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/58565"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 199129, "last_count_and_date": null }

47 комментариев 47 комм.

Популярные

По порядку

Написать комментарий...
30

Статья импортируется в ВК из "https://www.liveinternet.ru/users/rzhaka/post449644504/"; (что-то вроде instant view).
Парни нашли дырку и смогли внедрить скрипт, который вызывает share метод API. Кликнул - сделал репост.

Пароль можно не менять. Сам скрипт тут - https://rzhaka.github.io/prikol/yrap.js

Ответить
Перейти к комментарию
36

Эти говноеды отправляют на хакерван, хотя в багосах постоянно пишут, что сначала их предупреждают, и только потом сливают. Наверняка опять написали «спасибо, известно» и обосрались.

Ответить
30

Статья импортируется в ВК из "https://www.liveinternet.ru/users/rzhaka/post449644504/"; (что-то вроде instant view).
Парни нашли дырку и смогли внедрить скрипт, который вызывает share метод API. Кликнул - сделал репост.

Пароль можно не менять. Сам скрипт тут - https://rzhaka.github.io/prikol/yrap.js

Ответить
4

Вот отформатированный скрипт с комментариями (можно и без них, ведь там уязвимость очевидная, на самом деле) – https://gist.github.com/Amaimersion/a57cfef67c24933a641b4ea8eb503e7e

Ответить
27

Никогда такого не было, и вот опять

Ответить
24

Яндекс уже попался

Ответить
0

Уровень сотрудников Яндекс - это отдельный уровень ( на считая топов ).

Ответить
13

Сначала увидел, что в моем паблике этот пост тоже опубликовали с ошибкой, думаю, редактор неграмотный чудит, исправил опечатку. Потом еще один такой же пост появился с ошибками и трешем, думаю, редактор совсем ахуел, разжаловал его. Потом смотрю это говно у меня на стене появляется...

Ответить
15

Ложки нашлись, но осадочек остался?

Ответить
2

Дело было в не в бобине)

Ответить
5

Пароли администраторов в безопасности.

А что с нашими паролями?)))

Ответить
16

- У нас дыра в безопасности.
- Слава богу, хоть что-то у нас в безопасности...

Ответить
4

Твой пароль «38обезьянок» в порядке, можно не волноваться

Ответить
11

Пацаны за файндфейс2 отомстили

Ответить

Комментарий удален

7

И получаешь минусы :-)

Ответить
4

без обид, но при чём тут откуда вы?

Ответить
2

При том, что на Украине ВК и ОК заблокированы =)

Ответить
4

но все пользуются)

"А следующую нашу миниатюру заблокировал Роскомнадзор. Все нормально, смотрим!" (с) КВН

Ответить
3

Самые крутые оповещения приходил от официальной бизнес страницы Вк. Что лучше бы Дур0в (именно так было написано) дальше продолжал бы управлять соц сетью 😂

Ответить
0

Это и была официальная позиция ВК, но чтобы не палиться, пришлось столько всего навертеть...

Ответить
2

Жесто, как будто админ консоль взломали, доступ получили ко всем пользователям соц. сети.

Ответить
0

А оказалось скрипт

Ответить
2

Весело было. VC тоже отметились 😅

Ответить
2

Помогите Даше найти жёлтую прессу.

Ответить
0

Произошёл троллинг?

Ответить
0

С добрым утром! 4 года читаете и только узнали, что это в одной компании?

Ответить
–1

Возможно взлом был произведен кем-то из akket, статья точно их была из записи , которая была вирусной, но на сайте у них такой статьи не нашлось, но есть подобные https://akket.com/raznoe/111853-vkontakte-zapustila-dobrovolnuyu-reklamu-dlya-polzovatelej.html, в конце, в статье на сайте, точно такой же текст как и в фейковой записи, да написание текста похоже на них!

Ответить
5

Кстати, не подскажите ли, как убрать все новости Akket из ленты новостей Android? Это же трешак какой-то, а не сайт. Я их смахиваю, в принципе алгоритм должен запомнить, что вне моих интересов, но нет, каждое утро эта гадость опять лезет в ленту.

Ответить
2

Надо не смахивать, а нажать три точечки, там два пункта, что-то вроде "Не интересует <Тема>", "Не показывать новости с сайта <Сайт>"

Ответить
0

Добрался до телефона. Там появилась теперь кнопка "скрыть" и все новости свернулись. Уже лучше. А вообще буду разбираться, как можно всякую желтуху выпилить из ленты, иногда неплохие статьи с 3dnews попадаются и подобных сайтов, на которые не захожу.

Ответить
1

К сожалению без понятия, возможно тоже какую-то лазейку нашли, чтобы там постоянно быть

Ответить
3

Не юзать Рекомендации вообще. Или Хром. Или Андроид. Меня это в Андроиде раздражало капец как - вроде понимаешь, что эти рекомендации читать не обязательно, но все равно заходишь и читаешь, читаешь, читаешь

Ответить
4

Их, слава великому компьютерному богу, теперь можно скрыть хотя бы, чтобы они вообще не показывались в мобильной версии хрома

Ответить
1

если в хроме на новой вкладке, то просто нажмите "статьи для вас"

Ответить
1

Там же можно выбрать в рекомендациях кликнув по миниатюре с новостью в углу - скрывать этот сайт из списка не показывать новости

Ответить
–2

Если Вы про Google Now, то вот так.

Ответить
0

Спасибо! Буду пробовать сегодня. Я не разбирался как это называется, в Хроме когда открываешь новую вкладку, там восемь миниатюр и новости внизу идут (рекомендации). Пожалуй лучше вообще найти где их скрыть.

Ответить
–1

Да, это часть Google Now. В настройках можно заблокировать определенные источники.

Ответить
0

Спасибо! Иду курить Google Now!

Ответить
0

"Напоминаем хакерам, что за найденную уязвимость они могли заработать деньги с помощью программы HackerOne".
Ээ. Что, простите?

Ответить

Комментарий удален

0

Осторожнее надо быть!

Ответить
0

Странно что Инстаграм ещё это не реализовал - каждое третье сообщение в директе - реклама. Ну я думаю они уже скоро до этого дойдут.

Ответить
0
{ "page_type": "article" }

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvc" } } }, { "id": 19, "label": "Тизер на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "p1": "cbltd", "p2": "gazs" } } } ]
Компания отказалась от email
в пользу общения при помощи мемов
Подписаться на push-уведомления
{ "page_type": "default" }