Технологии
Никита Лихачёв

Хакер устроил эпидемию репостов во «ВКонтакте»

Пользователь Ирек Мавлиев опубликовал у себя на странице запись, ссылка в которой вела на приложение, автоматически публикующее его пост на чужих страницах и сообществах. За полчаса ничем не примечательная запись набрала более 80 тысяч репостов.

Запустившись после перехода по ссылке, приложение отправляло пользователя на его модифицированную страницу. На ней включалась анимация всех изображений, сменялся цвет, а фоном играла песня PSY «Gentleman». При этом репост оригинальной записи Мавлиева публиковался незаметно для пользователя не только на его странице, но и во всех публичных сообществах, в которых он числится администратором.

Таким образом пост Мавлиева попал в сотни популярных сообществ, включая официальные: LIVE, «Команда поддержки», «Подслушано», «Цукерберг Позвонит», страница блогера Дюрана и даже TJournal. В пике запись собрала около 85 тысяч репостов, но потом их количество резко снизилось практически до нуля.

Как объяснил Мавлиев TJournal, в приложении не было ничего вредоносного, кроме репостов. По его словам, возможность такого «взлома» не является виной разработчиков «ВКонтакте»: его суть кроется в «не совсем очевидной» работе класса ExternalInterface. XSS-уязвимость, позволявшая делать репосты, содержалась в плеере Flash. Экс-разработчик «ВКонтакте» Денис Ольшин конкретизировал: ошибка, позволившая распространиться эпидемии репостов, содержалась в коде сервиса видеозвонков, который он и писал, однако взлома аккаунта не происходит, поэтому пароль менять необязательно.

Созданное Мавлиевым приложение администрация «ВКонтакте» удалила через 20-25 минут после публикации. Появилось ещё как минимум одно такое же приложение, однако и оно было заблокировано.

Мавлиев объясняет акцию желанием повеселиться, но она также была своего рода экспериментом: он хотел узнать, как быстро будет распространяться информация, и поделился статистикой своей страницы.

За разработкой приложения стоят трое программистов: Ирек Мавлиев, на странице которого была опубликована запись, а также Лев Локтионов и Александр Гребенщиков. Они же в своё время взломали страницу основателя «ВКонтакте» Павла Дурова, оставив там сообщение «Всем привет от Лёвки, Ирека, Сашки и котанов :3».

\ \

\ \

#Новость #ВКонтакте #хакеры