Кто и зачем организовал массовую рассылку одинаковой записи во «ВКонтакте» Материал редакции

Сообщество тестировщиков, которое отомстило соцсети за невыплату денег за поиск багов. В администрации «ВКонтакте» с этим не согласны.

В закладки
Аудио

14 февраля сообщества и профили во «ВКонтакте» начали публиковать одну и ту же запись — новость о том, что в соцсети появилась реклама в личных сообщениях. За несколько минут запись появилась на сотнях страниц и групп, после чего администрация закрыла уязвимость.

Как это работает

Хакеры воспользовались уязвимостью «ВКонтакте»: они создали страницу, на которой исполнялся javascript-код и активировал рассылку. Когда пользователь нажимал на один пост в своей ленте, тот отправлялся на его страницу, а также в те группы, где он указан администратором. Это подтвердили и в пресс-службе «ВКонтакте».

Переход по ссылкам приводил к эффекту волны и дальнейшему распространению публикаций. Уязвимость, которая позволяла выполнять произвольный js, уже исправляется.

пресс-служба «ВКонтакте»

Как пояснил корреспондент ИА «Два стула» Михаил Самин, хакеры вероятнее всего использовали уязвимость в XSS-защите соцсети. У редактора TJ с закрытой от публикаций стеной во «ВКонтакте» баг не сработал и пост не появился.

Согласно описанию js-кода исходного поста, опубликованному на GitHub, репозиторий называется «rzhaka», а часть страницы — «prikol». По словам программиста Алекса Росанно, хакеры воспользовались уязвимостью вики-страниц «ВКонтакте», куда можно вставлять сторонние ссылки, в том числе на YouTube.

В вики-страницы «ВКонтакте» можно вставлять видео с YouTube. Они вставляются как iframe (страница, открывающаяся внутри другой страницы — прим. TJ). Проблема в том, что соцсеть не проверяет параметр srcdoc, поэтому туда кое-кто засунул js, который через DOM пихает тег <script> вместе с самой ссылкой на скрипт, расположенный на сайте rzhaka.

Именно в тот iframe, который автоматом вызывается и делает автоматические посты, опять же потому, что «ВКонтакте» не проверяет, нажал ли на кнопку пользователь или бот.

Алекс Росанно
программист

Хакеры заранее прописали несколько вариантов текста, который появляется в автоматическом посте, чтобы он выбирался случайно. Ссылка была опубликована как репост фотографии из сообщества «Команды ВКонтакте», хотя на самом деле снова вела на вики-страницу и вызывала повтор уязвимости. «Так как JS-код запостили с левого сайта, хакеры легко могли вместо шутки поставить туда какой-то дроппер для трояна или майнер», — добавил Росанно.

Что находится в той записи

Автоматическая запись, которая сначала вела в сообщество «Команды ВКонтакте», потом переводила на страницу в LiveInternet. Автором записи указан пользователь «rzhaka» — как и в репозитории GitHub. Она была замаскирована под новость о том, что во «ВКонтакте» появилась реклама в личных сообщениях. Авторы ссылались на сайт AKKet, которому о нововведении якобы рассказала пресс-служба соцсети. На самом деле на сайте AKKet такой публикации нет.

Социальная сеть «ВКонтакте» проста лишь на первый взгляд, потому как при более детальном анализе становится очевидно, что это крайне сложная система, обладающая скрытыми возможностями. Администрация «ВКонтакте» постоянно работает над улучшением соцсети, делая для этого все возможное.

фрагмент записи, размещённой в сообществах во «ВКонтакте»

Однако ни одна ссылка внутри записи не вела на источник. Вместо этого по клику открывались несколько мемов: сообщение от пользователя с просьбой создать «фейк администрации вк», шутка про «хакира вконтакте», скриншот из комментариев и упоминание Сергея Кашатова — тестестировщика багов во «ВКонтакте» и программиста. В разговоре с TJ он рассказал, что не имеет отношения к рассылке.

Кто за этим стоит

Рассылку устроили хакеры из сообщества «Багосы», где сидят программисты и айтишники, специализирующиеся на поиске уязвимостей во «ВКонтакте». Накануне они предлагали участникам собрать несколько сотен лайков, после чего рассказать про уязвимость.

После того, как 14 февраля во «ВКонтакте» начали появляться одинаковые записи, сообщество «Багосы» заблокировали с формулировкой о подозрительной деятельности. Однако в зеркальной группе «Багоси» информация об этом осталась: про рекламу в личных сообщениях и рассылку постов.

Администраторы «Багосов» подтвердили, что устроили массовую рассылку, и пояснили, что личные данные пользователей не были затронуты. Они воспользовались той же уязвимостью, которая позволила в 2017 году массово разослать по сообществам во «ВКонтакте» пост о смерти Алексея Навального.

Хакеры указали, что провернули это с целью отомстить «ВКонтакте» за невыплату денег за поиск багов.

Для тех, кому интересно, что произошло. В статью был встроен скрипт, который постил ссылку во все администрируемые группы и на личную страницу пользователя. Пока пользователь читал текст, он выполнялся, при этом личные данные никуда не утекали.

Кстати, комментарии к записям были составлены из отзывов к программе ВКонтакте в Google Play и AppStore, а сама статья из кликбейтных новостей с сайта AKKet (это локальный мем, многие могут не знать, что это за сайт). Уязвимость использовалась та же, что и год назад, тогда сотрудники «ВКонтакте» кинули и не выплатили баунти, в итоге было решено её использовать, но не нанося вред пользователям. Тогда, после устранения уязвимости, было найдено множество обходов, но даже спасибо мы за них не получили. В итоге остался последний обход, который мы берегли целый год.

Сегодня за несколько часов был написан код. Чтобы посты было сложнее сносить антиспамом и записи продержались хотя бы полчаса, заголовок и комментарий подбирались рандомно. Что же, шалость удалась.

К сожалению, основную группу забанили, но надеемся, что у сотрудников еще осталось чувство юмора и её разбанят. Так как уязвимость принадлежала пользователю, который больше не занимается их поиском, это было в последний раз.

администрация «Багосов»

Как отметили TJ во «ВКонтакте», «Багосы» использовали другую уязвимость, а за предыдущие всегда получали деньги.

{ "author_name": "Николай Чумаков", "author_type": "editor", "tags": ["\u0445\u0430\u043a\u0435\u0440\u044b","\u0440\u0430\u0437\u0431\u043e\u0440\u044b","\u0432\u043a\u043e\u043d\u0442\u0430\u043a\u0442\u0435","\u0432\u0437\u043b\u043e\u043c\u044b","\u0431\u0430\u0433\u0438"], "comments": 25, "likes": 118, "favorites": 18, "is_advertisement": false, "subsite_label": "internet", "id": 88078, "is_wide": false, "is_ugc": false, "date": "Thu, 14 Feb 2019 21:23:08 +0300", "is_special": false }
Объявление на TJ
Видео и гифки
Гифки и видео — наконец-то всё в одном месте. Это тот подсайт, куда можно постить короткие ролики, коубы и гифки без…
Подписаться
Подписан
Отписаться
0
{ "id": 88078, "author_id": 98420, "diff_limit": 1000, "urls": {"diff":"\/comments\/88078\/get","add":"\/comments\/88078\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/88078"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 214343, "last_count_and_date": null }
25 комментариев
Популярные
По порядку
Написать комментарий...
80

Люблю такое. По сути вреда никому, кроме репутации ВК, не нанесли(хотя могли бы), при этом ткнув ВК мордой в лужу. Красавцы же.

Ответить
36

У ВК есть репутация?

Ответить
1

Не у всех есть негативное отношение к ВК. Очень многим глубоко поебать на слив персональных данных. Я например использую вк(мемы, музыка, да много чего), но просто очень сильно контролирую то, что я в принципе туда выкладываю. Товарищ майор не найдёт в инете то, чего нет в инете.

Ответить
3

А мне давно не комфортно, даже писать простые комментарии в Вк. Такое чувство, что если захотят, то найдут к чему придраться.

Ответить
2

очень сильно контролирую то, что я в принципе туда выкладываю

ммм, самоцензура

Ответить
1

Это касается не только вк, но и интернета в целом, если что, и связано не только с опасением к майорам, но и элементарного нежелания делиться многими вещами с чужими людьми.

Ответить
0

вход на PornHub

Ответить
0

Т.е. вы поступаете так, как они от вас и добивались.
LOL

Ответить
4

Комментарий удален по просьбе пользователя

Ответить
25

Сбой во Вконтакте, кто и зачем

Ответить
36

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery

Ответить
16

Сбой во Вконтакте. Что? Да! Объясняем на 4 уведомлениях

Ответить
20

Корреспондент ИА "Два стула"? Взлольнул.

А ссылка на АККет добивает ситуацию

Ответить
2

Что круче, корреспондентом является Миша Самин, который школьником был главой Пастафарианской церкви.

Ответить
11

Комментарий удален по просьбе пользователя

Ответить
4

Возможность эксплуатации XSS - это по сути уязвимость

Ответить
2

чумаков как обычно 🤷‍♂️

Ответить
0

Уязвимость в веб-сервисе, так угодно?!

Ответить
0

Вектор атаки

Ответить
0

Нигде в статье не сказано, что XSS — это уязвимость. Речь про XSS-защиту

Ответить
9

У меня дежавю, или это вконтакте второй раз за два года одинаково обосрался?

Ответить
0

Нет, не дежавю

Ответить
2

шутка про «хакима вконтакте»

Ответить
0

При Дурове такой хуйни не было!

Ответить
Обсуждаемое
Технологии
Pixel 4 с распознаванием лиц, беспроводные наушники и доступный ультрабук: что показали на презентации Google
Кратко о главном.
Кино и сериалы
Фото: Полное воссоединение «Друзей»
Дженнифер Энистон больше не избегает соцсетей: она завела инстаграм и сделала селфи с экс-коллегами по сериалу.
Гость TJ
Гость TJ: Григорий Сергеев, основатель поискового отряда «Лиза Алерт»
Задавайте вопросы в комментариях. Трансляция — после 19:30.
Популярное за три дня
Новости
На Change.org опубликовали петицию против Вечернего Мудозвона
Автор петиции, священник-эмигрант из России отец Сергий, просит итальянские власти не предоставлять гражданство Владимиру Соловьёву. По его мнению, Соловьёв рассчитывает получить итальянский паспорт.
Новости
В Красноярске начался народный сход после того, как двое знакомых избили человека до смерти и сняли это на видео
Местные жители считают, что родители одного из подозреваемых могут отгородить сына от правосудия.
Интернет и мемы
Как Tinder в России стал обителью иронии и мемов — рассказывает создатель сообщества Swipe Right
«Cяду тебе на лицо» в анкете ещё не значит, что девушка ищет секса.

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "i", "ps": "cndo", "p2": "fizc" } } }, { "id": 4, "label": "Article Branding", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "cfovy", "p2": "glug" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfk" } } }, { "id": 6, "disable": true, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "clmf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byswn", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "cndo", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223677-0", "render_to": "inpage_VI-223677-0-130073047", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=cndo&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Баннер в ленте на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudv", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "ccydt", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvc" } } }, { "id": 20, "label": "Кнопка в сайдбаре", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "chfbk", "p2": "gnwc" } } } ]