Из-за уязвимости «ВКонтакте» сообщества и профили распространили фальшивую новость о рекламе в сообщениях Статьи редакции
В соцсети сообщили, что нашли уязвимость и устраняют её. Авторы рассылки говорят, что акция была местью за невыплату награды хакерам.
В официальных сообществах «ВКонтакте», а также в других группах и на страницах пользователей вечером 14 февраля стали появляться сообщения о «запуске рекламы в личных сообщениях». Все они содержат одну строчку текста и ссылку, похожую на новость.
Проверка vc.ru показала, что если администратор сообщества нажимает на это объявление, то такая же ссылка появляется и в группе под его управлением. «ВКонтакте» сообщила, что «оперативно решает проблему», не сообщив других подробностей.
Текст в публикации и заголовок ссылки постоянно меняются. Ссылка ведёт на вики-страницу, которая открывается поверх верифицированного сообщества «Команда ВКонтакте». Текст страницы копирует публикацию из блога rzhaka в LiveInternet. В публикации на LiveInternet есть несколько ссылок, которые ведут на разные картинки, опубликованные на серверах «ВКонтакте».
Похожая ситуация произошла в декабре 2017 года — тогда официальные сообщества администрации «ВКонтакте» и другие страницы опубликовали публикацию поддельной страницы «Медузы» о якобы убитом Алексее Навальном. В соцсети тогда сообщили, что устранили уязвимость, но не объяснили, в чём она заключалась.
Обновлено в 20:13. Пресс-служба «ВКонтакте» сообщила, что соцсеть взяла ситуацию под контроль.
Ситуация под контролем, мы начали удалять нежелательные публикации в течение первой минуты после обнаружения уязвимости.
Переход по ссылкам приводил к эффекту волны и дальнейшему распространению публикаций. Уязвимость, которая позволяла выполнять произвольный javascript-код, уже исправляется.
Сообщества не были взломаны, пароли аккаунтов администраторов в безопасности.
Напоминаем хакерам, что за найденную уязвимость они могли заработать деньги с помощью программы HackerOne.
Обновлено в 21:10. На странице «Багоси», открытой версии сообщества тестировщиков «Багосы», появилось объяснение рассылки. Авторы сообщили, что использовали старую уязвимость, за нахождение которой «ВКонтакте» не выплатила награду.
В статью был встроен скрипт, который постил ссылку во все администрируемые группы и на личную страницу пользователя. Пока пользователь читал текст, он выполнялся, при этом личные данные никуда не утекали.
Кстати, комментарии к записям были составлены из отзывов к программе «ВКонтакте» в Google Play и App Store, а сама статья — из кликбейтных новостей с сайта AKKet (это локальный мем, многие могут не знать, что это за сайт).
Уязвимость использовалась та же, что и год назад (Демократия), тогда сотрудники «ВКонтакте» кинули и не выплатили баунти. В итоге было решено её использовать, но не нанося вред пользователям.
Тогда, после устранения уязвимости, было найдено множество обходов, но мы за них даже «спасибо» не получили. В итоге остался последний обход, который мы берегли целый год.
Сегодня за несколько часов был написан код. Чтобы посты было сложнее сносить антиспамом и записи продержались хотя бы полчаса, заголовок и комментарий подбирались рандомно.
Что ж, шалость удалась. К сожалению, основную группу забанили, но надеемся, что у сотрудников ещё осталось чувство юмора. и её разбанят. Так как уязвимость принадлежала пользователю, который больше не занимается их поиском, это было в последний раз.
Статья импортируется в ВК из "https://www.liveinternet.ru/users/rzhaka/post449644504/"; (что-то вроде instant view).
Парни нашли дырку и смогли внедрить скрипт, который вызывает share метод API. Кликнул - сделал репост.
Пароль можно не менять. Сам скрипт тут - https://rzhaka.github.io/prikol/yrap.js
Вот отформатированный скрипт с комментариями (можно и без них, ведь там уязвимость очевидная, на самом деле) – https://gist.github.com/Amaimersion/a57cfef67c24933a641b4ea8eb503e7e
Эти говноеды отправляют на хакерван, хотя в багосах постоянно пишут, что сначала их предупреждают, и только потом сливают. Наверняка опять написали «спасибо, известно» и обосрались.
Никогда такого не было, и вот опять
Яндекс уже попался
Уровень сотрудников Яндекс - это отдельный уровень ( на считая топов ).
Сначала увидел, что в моем паблике этот пост тоже опубликовали с ошибкой, думаю, редактор неграмотный чудит, исправил опечатку. Потом еще один такой же пост появился с ошибками и трешем, думаю, редактор совсем ахуел, разжаловал его. Потом смотрю это говно у меня на стене появляется...
Ложки нашлись, но осадочек остался?
Дело было в не в бобине)
Пароли администраторов в безопасности.
А что с нашими паролями?)))
- У нас дыра в безопасности.
- Слава богу, хоть что-то у нас в безопасности...
Твой пароль «38обезьянок» в порядке, можно не волноваться
Пацаны за файндфейс2 отомстили
Комментарий удален модератором
И получаешь минусы :-)
без обид, но при чём тут откуда вы?
При том, что на Украине ВК и ОК заблокированы =)
но все пользуются)
"А следующую нашу миниатюру заблокировал Роскомнадзор. Все нормально, смотрим!" (с) КВН
Самые крутые оповещения приходил от официальной бизнес страницы Вк. Что лучше бы Дур0в (именно так было написано) дальше продолжал бы управлять соц сетью 😂
Это и была официальная позиция ВК, но чтобы не палиться, пришлось столько всего навертеть...
Комментарий недоступен
Комментарий недоступен
Весело было. VC тоже отметились 😅
Помогите Даше найти жёлтую прессу.
Это же жесть, вы что один шаблон bootstrap на двоих купили? Дизайн один в один и новости те же.
https://tjournal.ru/tech/88074-vo-vkontakte-proizoshel-massovyy-sboy-profili-i-soobshchestva-publikuyut-odnu-zapis
Произошёл троллинг?
С добрым утром! 4 года читаете и только узнали, что это в одной компании?
Возможно взлом был произведен кем-то из akket, статья точно их была из записи , которая была вирусной, но на сайте у них такой статьи не нашлось, но есть подобные https://akket.com/raznoe/111853-vkontakte-zapustila-dobrovolnuyu-reklamu-dlya-polzovatelej.html, в конце, в статье на сайте, точно такой же текст как и в фейковой записи, да написание текста похоже на них!
Комментарий недоступен
Надо не смахивать, а нажать три точечки, там два пункта, что-то вроде "Не интересует <Тема>", "Не показывать новости с сайта <Сайт>"
Комментарий недоступен
К сожалению без понятия, возможно тоже какую-то лазейку нашли, чтобы там постоянно быть
Не юзать Рекомендации вообще. Или Хром. Или Андроид. Меня это в Андроиде раздражало капец как - вроде понимаешь, что эти рекомендации читать не обязательно, но все равно заходишь и читаешь, читаешь, читаешь
Их, слава великому компьютерному богу, теперь можно скрыть хотя бы, чтобы они вообще не показывались в мобильной версии хрома
если в хроме на новой вкладке, то просто нажмите "статьи для вас"
Там же можно выбрать в рекомендациях кликнув по миниатюре с новостью в углу - скрывать этот сайт из списка не показывать новости
Комментарий недоступен
Комментарий недоступен
Комментарий недоступен
Комментарий недоступен
"Напоминаем хакерам, что за найденную уязвимость они могли заработать деньги с помощью программы HackerOne".
Ээ. Что, простите?
Ну например
Комментарий удален модератором
Осторожнее надо быть!
Странно что Инстаграм ещё это не реализовал - каждое третье сообщение в директе - реклама. Ну я думаю они уже скоро до этого дойдут.
Комментарий удален модератором