Из-за уязвимости «ВКонтакте» сообщества и профили распространили фальшивую новость о рекламе в сообщениях Статьи редакции

В соцсети сообщили, что нашли уязвимость и устраняют её. Авторы рассылки говорят, что акция была местью за невыплату награды хакерам.

В официальных сообществах «ВКонтакте», а также в других группах и на страницах пользователей вечером 14 февраля стали появляться сообщения о «запуске рекламы в личных сообщениях». Все они содержат одну строчку текста и ссылку, похожую на новость.

Проверка vc.ru показала, что если администратор сообщества нажимает на это объявление, то такая же ссылка появляется и в группе под его управлением. «ВКонтакте» сообщила, что «оперативно решает проблему», не сообщив других подробностей.

Текст в публикации и заголовок ссылки постоянно меняются. Ссылка ведёт на вики-страницу, которая открывается поверх верифицированного сообщества «Команда ВКонтакте». Текст страницы копирует публикацию из блога rzhaka в LiveInternet. В публикации на LiveInternet есть несколько ссылок, которые ведут на разные картинки, опубликованные на серверах «ВКонтакте».

Похожая ситуация произошла в декабре 2017 года — тогда официальные сообщества администрации «ВКонтакте» и другие страницы опубликовали публикацию поддельной страницы «Медузы» о якобы убитом Алексее Навальном. В соцсети тогда сообщили, что устранили уязвимость, но не объяснили, в чём она заключалась.

Обновлено в 20:13. Пресс-служба «ВКонтакте» сообщила, что соцсеть взяла ситуацию под контроль.

Ситуация под контролем, мы начали удалять нежелательные публикации в течение первой минуты после обнаружения уязвимости.

Переход по ссылкам приводил к эффекту волны и дальнейшему распространению публикаций. Уязвимость, которая позволяла выполнять произвольный javascript-код, уже исправляется.

Сообщества не были взломаны, пароли аккаунтов администраторов в безопасности.

Напоминаем хакерам, что за найденную уязвимость они могли заработать деньги с помощью программы HackerOne.

пресс-служба «ВКонтакте»

Обновлено в 21:10. На странице «Багоси», открытой версии сообщества тестировщиков «Багосы», появилось объяснение рассылки. Авторы сообщили, что использовали старую уязвимость, за нахождение которой «ВКонтакте» не выплатила награду.

В статью был встроен скрипт, который постил ссылку во все администрируемые группы и на личную страницу пользователя. Пока пользователь читал текст, он выполнялся, при этом личные данные никуда не утекали.

Кстати, комментарии к записям были составлены из отзывов к программе «ВКонтакте» в Google Play и App Store, а сама статья — из кликбейтных новостей с сайта AKKet (это локальный мем, многие могут не знать, что это за сайт).

Уязвимость использовалась та же, что и год назад (Демократия), тогда сотрудники «ВКонтакте» кинули и не выплатили баунти. В итоге было решено её использовать, но не нанося вред пользователям.

Тогда, после устранения уязвимости, было найдено множество обходов, но мы за них даже «спасибо» не получили. В итоге остался последний обход, который мы берегли целый год.

Сегодня за несколько часов был написан код. Чтобы посты было сложнее сносить антиспамом и записи продержались хотя бы полчаса, заголовок и комментарий подбирались рандомно.

Что ж, шалость удалась. К сожалению, основную группу забанили, но надеемся, что у сотрудников ещё осталось чувство юмора. и её разбанят. Так как уязвимость принадлежала пользователю, который больше не занимается их поиском, это было в последний раз.

публикация сообщества «Багоси»
0
46 комментариев
Написать комментарий...
Леван Квирквелия

Статья импортируется в ВК из "https://www.liveinternet.ru/users/rzhaka/post449644504/"; (что-то вроде instant view).
Парни нашли дырку и смогли внедрить скрипт, который вызывает share метод API. Кликнул - сделал репост.

Пароль можно не менять. Сам скрипт тут - https://rzhaka.github.io/prikol/yrap.js

Ответить
Развернуть ветку
Sergey Kuznetsov

Вот отформатированный скрипт с комментариями (можно и без них, ведь там уязвимость очевидная, на самом деле) – https://gist.github.com/Amaimersion/a57cfef67c24933a641b4ea8eb503e7e

Ответить
Развернуть ветку
Feduard Klimkin
Ответить
Развернуть ветку
Пётр Самохин

Эти говноеды отправляют на хакерван, хотя в багосах постоянно пишут, что сначала их предупреждают, и только потом сливают. Наверняка опять написали «спасибо, известно» и обосрались.

Ответить
Развернуть ветку
Амадей

Никогда такого не было, и вот опять

Ответить
Развернуть ветку
Ker In

Яндекс уже попался

Ответить
Развернуть ветку
Антон Гранд

Уровень сотрудников Яндекс - это отдельный уровень ( на считая топов ).

Ответить
Развернуть ветку
Дмитрий

Сначала увидел, что в моем паблике этот пост тоже опубликовали с ошибкой, думаю, редактор неграмотный чудит, исправил опечатку. Потом еще один такой же пост появился с ошибками и трешем, думаю, редактор совсем ахуел, разжаловал его. Потом смотрю это говно у меня на стене появляется...

Ответить
Развернуть ветку
Михаил Матюшко

Ложки нашлись, но осадочек остался?

Ответить
Развернуть ветку
Евгений Томпсон

Дело было в не в бобине)

Ответить
Развернуть ветку
Матвей Матюшко
Ответить
Развернуть ветку
Артем Микехин

Пароли администраторов в безопасности.

А что с нашими паролями?)))

Ответить
Развернуть ветку
Viktor Nevzorov

- У нас дыра в безопасности.
- Слава богу, хоть что-то у нас в безопасности...

Ответить
Развернуть ветку
Alexander Matveev

Твой пароль «38обезьянок» в порядке, можно не волноваться

Ответить
Развернуть ветку
Sandy Bell

Пацаны за файндфейс2 отомстили

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Alexander Viktorovich

И получаешь минусы :-)

Ответить
Развернуть ветку
Alexander Zhikh

без обид, но при чём тут откуда вы?

Ответить
Развернуть ветку
Виталий Климов

При том, что на Украине ВК и ОК заблокированы =)

Ответить
Развернуть ветку
Alexandr Zhitkevich

но все пользуются)

"А следующую нашу миниатюру заблокировал Роскомнадзор. Все нормально, смотрим!" (с) КВН

Ответить
Развернуть ветку
Пархат Ташметов

Самые крутые оповещения приходил от официальной бизнес страницы Вк. Что лучше бы Дур0в (именно так было написано) дальше продолжал бы управлять соц сетью 😂

Ответить
Развернуть ветку
Юрий Другач

Это и была официальная позиция ВК, но чтобы не палиться, пришлось столько всего навертеть...

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Дмитрий Седегов

Весело было. VC тоже отметились 😅

Ответить
Развернуть ветку
Сергей Я

Помогите Даше найти жёлтую прессу.

Ответить
Развернуть ветку
Alexander Mikhaylov

Это же жесть, вы что один шаблон bootstrap на двоих купили? Дизайн один в один и новости те же.

https://tjournal.ru/tech/88074-vo-vkontakte-proizoshel-massovyy-sboy-profili-i-soobshchestva-publikuyut-odnu-zapis

Ответить
Развернуть ветку
Виталий Асташкин

Произошёл троллинг?

Ответить
Развернуть ветку
Прочел это-потратил время зря

С добрым утром! 4 года читаете и только узнали, что это в одной компании?

Ответить
Развернуть ветку
Эдуард Подерский

Возможно взлом был произведен кем-то из akket, статья точно их была из записи , которая была вирусной, но на сайте у них такой статьи не нашлось, но есть подобные https://akket.com/raznoe/111853-vkontakte-zapustila-dobrovolnuyu-reklamu-dlya-polzovatelej.html, в конце, в статье на сайте, точно такой же текст как и в фейковой записи, да написание текста похоже на них!

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Илья Росинский

Надо не смахивать, а нажать три точечки, там два пункта, что-то вроде "Не интересует <Тема>", "Не показывать новости с сайта <Сайт>"

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Эдуард Подерский

К сожалению без понятия, возможно тоже какую-то лазейку нашли, чтобы там постоянно быть

Ответить
Развернуть ветку
Юрий Б.

Не юзать Рекомендации вообще. Или Хром. Или Андроид. Меня это в Андроиде раздражало капец как - вроде понимаешь, что эти рекомендации читать не обязательно, но все равно заходишь и читаешь, читаешь, читаешь

Ответить
Развернуть ветку
Эдуард Подерский

Их, слава великому компьютерному богу, теперь можно скрыть хотя бы, чтобы они вообще не показывались в мобильной версии хрома

Ответить
Развернуть ветку
Viktor Nevzorov

если в хроме на новой вкладке, то просто нажмите "статьи для вас"

Ответить
Развернуть ветку
Андрей Иванов

Там же можно выбрать в рекомендациях кликнув по миниатюре с новостью в углу - скрывать этот сайт из списка не показывать новости

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Ангелина Шнурова

"Напоминаем хакерам, что за найденную уязвимость они могли заработать деньги с помощью программы HackerOne".
Ээ. Что, простите?

Ответить
Развернуть ветку
For Nothing

Ну например

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Пархат Ташметов
Ответить
Развернуть ветку
Юрий Михалыч

Осторожнее надо быть!

Ответить
Развернуть ветку
Павел Павлов

Странно что Инстаграм ещё это не реализовал - каждое третье сообщение в директе - реклама. Ну я думаю они уже скоро до этого дойдут.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
43 комментария
Раскрывать всегда