Рубрика развивается при поддержке HP logo intel logo

Хакер устроил эпидемию репостов во «ВКонтакте» Статьи редакции

Пользователь Ирек Мавлиев опубликовал у себя на странице запись, ссылка в которой вела на приложение, автоматически публикующее его пост на чужих страницах и сообществах. За полчаса ничем не примечательная запись набрала более 80 тысяч репостов.

Запустившись после перехода по ссылке, приложение отправляло пользователя на его модифицированную страницу. На ней включалась анимация всех изображений, сменялся цвет, а фоном играла песня PSY «Gentleman». При этом репост оригинальной записи Мавлиева публиковался незаметно для пользователя не только на его странице, но и во всех публичных сообществах, в которых он числится администратором.

Таким образом пост Мавлиева попал в сотни популярных сообществ, включая официальные: LIVE, «Команда поддержки», «Подслушано», «Цукерберг Позвонит», страница блогера Дюрана и даже TJournal. В пике запись собрала около 85 тысяч репостов, но потом их количество резко снизилось практически до нуля.

Как объяснил Мавлиев TJournal, в приложении не было ничего вредоносного, кроме репостов. По его словам, возможность такого «взлома» не является виной разработчиков «ВКонтакте»: его суть кроется в «не совсем очевидной» работе класса ExternalInterface. XSS-уязвимость, позволявшая делать репосты, содержалась в плеере Flash. Экс-разработчик «ВКонтакте» Денис Ольшин конкретизировал: ошибка, позволившая распространиться эпидемии репостов, содержалась в коде сервиса видеозвонков, который он и писал, однако взлома аккаунта не происходит, поэтому пароль менять необязательно.

Созданное Мавлиевым приложение администрация «ВКонтакте» удалила через 20-25 минут после публикации. Появилось ещё как минимум одно такое же приложение, однако и оно было заблокировано.

Мавлиев объясняет акцию желанием повеселиться, но она также была своего рода экспериментом: он хотел узнать, как быстро будет распространяться информация, и поделился статистикой своей страницы.

За разработкой приложения стоят трое программистов: Ирек Мавлиев, на странице которого была опубликована запись, а также Лев Локтионов и Александр Гребенщиков. Они же в своё время взломали страницу основателя «ВКонтакте» Павла Дурова, оставив там сообщение «Всем привет от Лёвки, Ирека, Сашки и котанов :3».

\ \

\ \

{ "author_name": "Никита Лихачёв", "author_type": "self", "tags": [], "comments": 49, "likes": 71, "favorites": 1, "is_advertisement": false, "subsite_label": "tech", "id": 48677, "is_wide": true, "is_ugc": true, "date": "Thu, 14 Nov 2013 22:19:48 +0400", "is_special": false }
0
49 комментариев
Популярные
По порядку
Написать комментарий...

Слышный Петя

30

TJ - самые оперативные СМИ

хруст

Санитарный утюг

–5

ЦП релиз раньше запостил.

Igor

Сложный

7

И написали бред какой-то, назвав количество лайков под постом - репостами и то, когда их было около 57.000, а так же TJ раньше связались с самим Иреком.

Вывод: кто-то пишет новости, а кто-то о стартапах.

Андрей

Слышный Петя

24

Может меня сейчас сольют, но ЦП уже не в тренде. У TJ новости намного интересней и информативнее.

хруст

Покойный алмаз

1

ЦП на одном Загоруйко держится.

Узкий чувак

24

Таких людей надо брать на работу вконтакте, а не стюардесс.
У Ирека вот отличное поучилось резюме.

даня

Слышный Петя

6

Дуров уже добавил в друзья.

хруст

Пестрый Макс

1

он давно у него в друзьях, еще до этой "эпидемии репостов"... так что не гони!

Первоначальный колос

16

Насколько

Михаил

Первоначальный колос

14

Этот комментарий для тех, кто был тут в самом начале жизни статьи.

Михаил

Органический Орзэмэс

10

Для понимания.

Вадим

Первоначальный

2

Вадим, я был, когда Никита еще не поставил галку в админке. Было просто "Насколько". Получалось многозначительно и закончено, кстати.

Михаил

Органический

7

Да я вообще видел эту новость еще закрытую в админке, понял!?

Михаил

Честной ГОСТ

1
Михаил

Сложный будильник

–2

Насколько известно, материал дополняется.

Андрей

Первоначальный

4

Я тут был еще тогда, когда он не дополнялся!

Михаил

Отечественный лолипоп

–3

создал копию! http://vk.com/app3996515 но недоработал. так что без музыки.

0

еще веселее но без репостов http://vk.com/userpage

Воинский якорь

11

Созданное им приложение администрация «ВКонтатке» удалила через 20-25 минут после публикации.

ВКОНТАТКЕ!

JA

Индийский ключ

12

КТОВТАНКЕ

Солидный бокал

6

Сколько вайна из-за безобидной шутки.

Шахматный рак

5

То, что происходило на экране стоило репостов.

Утренний Влад

3

зато я выяснила, в скольки группах стою админом

Неопределенный бинокль

0

Я бы запихнул туда рекламу...

Владислав

Тюремный крюк

3

Тогда ты был бы пиромдо, а не Хацкером

Пограничный пистолет

1

http://javascript.ru/unsorted/bridge-to-flash
Пожалуйста, при наличии минимальных знаний в js и flash можно засунуть во флэшку код, который имортнёт откуда-нибудь наш «хороший» код и хана. Можно же при модификации заадминиться в крупных пабликах))

Газетный меч

0

Если он уже не работает в ВК.

Личный Илья

0

зря таланты пропадают

Советский шар

–4

Самое интересное, что Дуров и Ирек сейчас оба онлайн) Скорее всего, договариваются о собеседовании)

Комментарий удален

Комментарий удален

Lyosha

Слышный Петя

0

За такие скриншоты надо руки отрубывать. Неужели так тяжело выделить нужную часть?

Элементарный Денис

–1

Он http://vk.com/id136639041 тоже такое сделал

Нариман

Звездный дебаркадер

0

Когда-то.

Anton

Элементарный

0

Уже забанили.
А приложение осталось http://vk.com/app3996515

Нариман

Элементарный

0

И это забанили.

Нариман

Организационный динозавр

0

Проиграл с бомбермена

Прохладный самолет

–6

Фантастический якорь

–5

На всякий случай надо изменить имя и переехать в другую страну

Комментарий удален

Элементарный Денис

0

Теперь этот код с багом есть минимум у 2х человек, такое и в фейсбуке будет работать по идее. И никак не защититься, только если вк со своей стороны будет этот кусок флеша блочить.

Алый диод

0

Лолита права) было круто

Прохожий диод

0

Ошибка была в неправильной настройке доступа в файле crossdomain.xml. Давно хотел пофаниться с кросс-доменными запросами, но все руки не доходили. Но XSS это конечно прикольно. Можно ли уточнить тип XSS ( хранимая, отражаемая)?

Лысый месяц

0

Сломайте уже фейсбук кто-нибудь.

Педагогический мангал

0

Напишите плиз мне в лс http://vk.com/id169600195 кто поможет сделать такое очень хорошо оплачу.

Кавказский Петя

0

Бля пацаны это был я и все не чего такого я не сделал!!!!

Понятный диод

–49

Красиво счётчик просмотров меняет цифры
Насчёт этого мудака...пусть в аду горит, где его также крутит и меняет цвет

Dᴍɪᴛʀʏ

Понятный диод

–31

Ирек Мавлиев и Лёвик Локтионов уже поставили мне минусы, остался Александр Гребенщиков

Dᴍɪᴛʀʏ

Стеклянный

19

Законный крюк

–4

Бомбанул, так бомбанул!

Убитый браслет

–7

у многих только что бомбануло, у меня в том числе...

AppStore

Решающий бокал

10

Очень жаль.

Читать все 49 комментариев
Обсуждаемое
Интернет
Резонанс: Объявление рекомендаций «Умного голосования» перед выборами в Госдуму
Не все оказались готовы к кандидатам, за которых им предлагают проголосовать в борьбе с «Единой Россией».
Интернет
Красноярка ведёт инстаграм несовершеннолетней дочери и продаёт её снимки. После интернет-расследования СК возбудил дело
Мать заявляет, что не видит сексуального подтекста, о котором говорят в сети, а за фото дочери платят «истинные фанаты». Главное из материала «Холода».
Новости
Глава «Альянса врачей» Анастасия Васильева попросила не ассоциировать профсоюз с Фондом борьбы с коррупцией
Она считает, что соратники Алексея Навального перестали поддерживать «Альянс врачей», как только профсоюз стал не нужен.
Популярное за три дня
Технологии
ИТ-специалисты сообщили о блокировке «Google Документов» на сетях «Мегафона», МТС, Tele2 и Yota
Сбои наблюдаются по всей России. 15 сентября в «Google Документах» опубликовали списки кандидатов «Умного голосования».
Новости
Жительница США оплатила долг героев репортажа «Таких дел» из села Ведлозеро. Они брали взаймы продукты в магазине
На момент выхода материала они были должны магазину 4200 рублей.
Новости
Собаку Еву, которую потеряли в аэропорту Домодедово, нашли. Она вышла на запах хозяйки
Екатерина Безрученко сама прибыла на территорию аэропорта, чтобы поймать питомца. Вместе с кинологами они решили положить её толстовку в место, где в последний раз видели Еву.
null