Из-за уязвимости «ВКонтакте» сообщества и профили распространили фальшивую новость о рекламе в сообщениях Статьи редакции
В соцсети сообщили, что нашли уязвимость и устраняют её. Авторы рассылки говорят, что акция была местью за невыплату награды хакерам.
В официальных сообществах «ВКонтакте», а также в других группах и на страницах пользователей вечером 14 февраля стали появляться сообщения о «запуске рекламы в личных сообщениях». Все они содержат одну строчку текста и ссылку, похожую на новость.
Проверка vc.ru показала, что если администратор сообщества нажимает на это объявление, то такая же ссылка появляется и в группе под его управлением. «ВКонтакте» сообщила, что «оперативно решает проблему», не сообщив других подробностей.
Текст в публикации и заголовок ссылки постоянно меняются. Ссылка ведёт на вики-страницу, которая открывается поверх верифицированного сообщества «Команда ВКонтакте». Текст страницы копирует публикацию из блога rzhaka в LiveInternet. В публикации на LiveInternet есть несколько ссылок, которые ведут на разные картинки, опубликованные на серверах «ВКонтакте».
Похожая ситуация произошла в декабре 2017 года — тогда официальные сообщества администрации «ВКонтакте» и другие страницы опубликовали публикацию поддельной страницы «Медузы» о якобы убитом Алексее Навальном. В соцсети тогда сообщили, что устранили уязвимость, но не объяснили, в чём она заключалась.
Обновлено в 20:13. Пресс-служба «ВКонтакте» сообщила, что соцсеть взяла ситуацию под контроль.
Обновлено в 21:10. На странице «Багоси», открытой версии сообщества тестировщиков «Багосы», появилось объяснение рассылки. Авторы сообщили, что использовали старую уязвимость, за нахождение которой «ВКонтакте» не выплатила награду.
Статья импортируется в ВК из "https://www.liveinternet.ru/users/rzhaka/post449644504/" (что-то вроде instant view).
Парни нашли дырку и смогли внедрить скрипт, который вызывает share метод API. Кликнул - сделал репост.
Пароль можно не менять. Сам скрипт тут - https://rzhaka.github.io/prikol/yrap.js
Вот отформатированный скрипт с комментариями (можно и без них, ведь там уязвимость очевидная, на самом деле) – https://gist.github.com/Amaimersion/a57cfef67c24933a641b4ea8eb503e7e
Эти говноеды отправляют на хакерван, хотя в багосах постоянно пишут, что сначала их предупреждают, и только потом сливают. Наверняка опять написали «спасибо, известно» и обосрались.
Никогда такого не было, и вот опять
Яндекс уже попался
Уровень сотрудников Яндекс - это отдельный уровень ( на считая топов ).
Сначала увидел, что в моем паблике этот пост тоже опубликовали с ошибкой, думаю, редактор неграмотный чудит, исправил опечатку. Потом еще один такой же пост появился с ошибками и трешем, думаю, редактор совсем ахуел, разжаловал его. Потом смотрю это говно у меня на стене появляется...
Ложки нашлись, но осадочек остался?
Дело было в не в бобине)
Пароли администраторов в безопасности.
А что с нашими паролями?)))
- У нас дыра в безопасности.
- Слава богу, хоть что-то у нас в безопасности...
Твой пароль «38обезьянок» в порядке, можно не волноваться
Пацаны за файндфейс2 отомстили
Комментарий удален модератором
И получаешь минусы :-)
без обид, но при чём тут откуда вы?
При том, что на Украине ВК и ОК заблокированы =)
но все пользуются)
"А следующую нашу миниатюру заблокировал Роскомнадзор. Все нормально, смотрим!" (с) КВН
Комментарий недоступен
Это и была официальная позиция ВК, но чтобы не палиться, пришлось столько всего навертеть...
Комментарий недоступен
Комментарий недоступен
Весело было. VC тоже отметились 😅
Помогите Даше найти жёлтую прессу.
Это же жесть, вы что один шаблон bootstrap на двоих купили? Дизайн один в один и новости те же.
https://tjournal.ru/tech/88074-vo-vkontakte-proizoshel-massovyy-sboy-profili-i-soobshchestva-publikuyut-odnu-zapis
Произошёл троллинг?
С добрым утром! 4 года читаете и только узнали, что это в одной компании?
Возможно взлом был произведен кем-то из akket, статья точно их была из записи , которая была вирусной, но на сайте у них такой статьи не нашлось, но есть подобные https://akket.com/raznoe/111853-vkontakte-zapustila-dobrovolnuyu-reklamu-dlya-polzovatelej.html, в конце, в статье на сайте, точно такой же текст как и в фейковой записи, да написание текста похоже на них!
Комментарий недоступен
Надо не смахивать, а нажать три точечки, там два пункта, что-то вроде "Не интересует <Тема>", "Не показывать новости с сайта <Сайт>"
Комментарий недоступен
К сожалению без понятия, возможно тоже какую-то лазейку нашли, чтобы там постоянно быть
Не юзать Рекомендации вообще. Или Хром. Или Андроид. Меня это в Андроиде раздражало капец как - вроде понимаешь, что эти рекомендации читать не обязательно, но все равно заходишь и читаешь, читаешь, читаешь
Их, слава великому компьютерному богу, теперь можно скрыть хотя бы, чтобы они вообще не показывались в мобильной версии хрома
если в хроме на новой вкладке, то просто нажмите "статьи для вас"
Там же можно выбрать в рекомендациях кликнув по миниатюре с новостью в углу - скрывать этот сайт из списка не показывать новости
Комментарий недоступен
Комментарий недоступен
Комментарий недоступен
Комментарий недоступен
"Напоминаем хакерам, что за найденную уязвимость они могли заработать деньги с помощью программы HackerOne".
Ээ. Что, простите?
Ну например
Комментарий удален модератором
Комментарий недоступен
Осторожнее надо быть!
Странно что Инстаграм ещё это не реализовал - каждое третье сообщение в директе - реклама. Ну я думаю они уже скоро до этого дойдут.
Комментарий удален модератором