Во «ВКонтакте» произошёл массовый сбой — профили и сообщества публикуют одну запись Материал редакции

На сотнях страниц появилась ссылка на пост про рекламу в личных сообщениях.

В закладки
Аудио

Обновлено в 22:06: «ВКонтакте» рассказала TJ, что устранила уязвимость, и извинилась перед пользователями.

Сообщества и профили во «ВКонтакте» вечером 14 февраля начали публиковать одну и ту же запись. В ней говорилось, что в личных сообщениях в соцсети появилась реклама. При переходе по ссылке открывается пост «Команды ВКонтакте» с заголовком «ВКонтакте запустили рекламу в сообщениях».

Причиной сбоя стала XSS-уязвимость в социальной сети. Злоумышленникам удалось внедрить в страницу поста JS-скрипт, который публиковал рекламную запись в профиле и сообществах пользователя.

Во «ВКонтакте» подтвердили, что уязвимость позволяла исполнять произвольный JS-код и её уже исправляют. В соцсети напомнили, что исследователи могут получить вознаграждение за найденные уязвимости через программу HackerOne.

Ситуация под контролем, мы начали удалять нежелательные публикации в течение первой минуты после обнаружения уязвимости.

Переход по ссылкам приводил к эффекту волны и дальнейшему распространению публикаций. Уязвимость, которая позволяла выполнять произвольный js [код], уже исправляется.

Сообщества не были взломаны, пароли аккаунтов администраторов в безопасности.

пресс-служба «ВКонтакте»

За сутки до сбоя в сообществе «Багосы», где сидят программисты и айтишники, специализирующиеся на поиске уязвимостей во «ВКонтакте», опубликовали несколько записей про новый баг. Администраторы паблика предлагали участникам собрать несколько сотен лайков, после чего они расскажут про уязвимость.

После того, как 14 февраля во «ВКонтакте» начали появляться одинаковые записи, сообщество «Багосы» заблокировали с формулировкой о подозрительной деятельности. Под одинаковыми постами пользователи писали сообщения об этом вроде «Опять эти Багосы» и «Багосы *******».

Обновлено в 22:06: представители «ВКонтакте» рассказали TJ, что полностью устранили уязвимость в течение 20 минут. Соцсеть также извинилась перед своими пользователями.

Пользовательские данные и пароли находятся в безопасности, личные страницы и сообщества не были взломаны. Мы оперативно проведём продуктовые обновления, чтобы предотвратить такие ситуации в будущем.

Мы приносим извинения пользователям, столкнувшимся с возможными неудобствами из-за данного инцидента, и благодарим всех, кто поддержал нас.

пресс-служба «ВКонтакте»

Это не первый случай использования XSS-уязвимости во «ВКонтакте» для репостов. В 2013 году пользователь Ирек Мавлиев опубликовал у себя на странице ссылку на приложение, которое автоматически размещало его пост на страницах и в сообществах пользователей. Благодаря этому ему за полчаса удалось собрать 80 тысяч репостов. Тогда уязвимость реализовали через плеер Flash.

Спасибо за наводку Yuliy Galkin
{ "author_name": "Yuliy Galkin", "author_type": "self", "tags": ["\u0441\u043e\u0446\u0441\u0435\u0442\u0438","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","\u0431\u0430\u0433\u0438"], "comments": 155, "likes": 189, "favorites": 14, "is_advertisement": false, "subsite_label": "tech", "id": 88074, "is_wide": false, "is_ugc": false, "date": "Thu, 14 Feb 2019 19:42:56 +0300", "is_special": false }
0
{ "id": 88074, "author_id": 120711, "diff_limit": 1000, "urls": {"diff":"\/comments\/88074\/get","add":"\/comments\/88074\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/88074"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 214344, "last_count_and_date": null }
155 комментариев
Популярные
По порядку
Написать комментарий...
166

TJ традиционно без комментариев

Ответить
35

бля, это тупа вин

Ответить
10

Не, ну это тупо бан

Ответить
6

вот что находится в репе по линке

Ответить
6

мне кажется этот пабл причастен. Пост от 14.02.19 в 12:47

Ответить
54

Комментарий удален по просьбе пользователя

Ответить
20

Самое офигенное когда проблема ОЧЕВИДНО на их стороне, их лучшее предложение это УСТАНОВИТЕ НАШ АНТИВИРУС и проверьте пк, ага спасибо, я не голодный

Ответить
1

Ой, согласен, точно так же было: неделю утверждали, что не воспроизводится, хотя я им готовый скрипт кидал. Спустя несколько недель выплатили крохотную сумму за довольно большую уязвимость.

Ответить
0

В мобильном приложении у некоторых контактов исчезла переписка. Через сайт доступна, что характерно

Ответить
0

Все правда. Я уже как-то писал тут, что я им фича отправил, который позволял качать любые приватные документы из профиля пользователя.

Они сказали, что это не фича -- но пофиксили.

Ответить
27

XSS, ребятки

Ответить
20

Ржака. Прикол. Угар.

Ответить
7

Когда увидел ржаку и угар, сразу подумал на Багосы. Так и оказалось, они походу замешаны ¯\_(ツ)_/¯

Ответить
0

Если вдруг кому интересно посмотреть этот файл, вот его копия https://gist.github.com/thetrall/3768f22d0cc4d27085e4a38975a1bd33 (немного отформатирована)

Ответить
0

Комментарий удален по просьбе пользователя

Ответить
3

Это деобфусцированный код же

Ответить
1

Комментарий удален по просьбе пользователя

Ответить
0

Так наоборот же, обфусцированный.

Ответить
2

Обфусцированный по ссылке со скриншота, а здесь он уже нормально показан. Понятно, что оригинальные названия переменных не восстановишь.

Ответить
22

Зато как рекламу в аудио через каждые три трека сделать, или к Searchface до###ться, это мы тут как тут!

Ответить
0

ну слышь, нормально же общались...

Ответить
5

Если бы это было в первый раз — вопросов нет.
А это во второй раз, и, судя по описанию, далеко не самая сложная уязвимость.
Очень жаль, что после перехода к Mail.Ru акцент начали делать на маркетинге и бабле, а не на технической составляющей.

Ответить
17

Будет жарко (особенно серверам ТЖ)

Ответить
12

Тж уже упасть немношк успел

Ответить
2

Наверно это будет самая просматривая новость от Дамира

Ответить
1

А фигли он кстати самые веселые скрины убрал?

Ответить
0

Отбились от ботов?

Ответить
1

Вроде да, спасибо Роме

Ответить
1

Мне при заходе на эту страницу уже выдало 503)

Ответить
0

Нужно скорее пуш/в соцсети

Ответить
0

Заодно нагрузочное тестирование пройдём

Ответить
0

Откуда столько народу идет?

Ответить
0

Соцсети + шаринг

Ответить
1

Господа знатоки. Поясните. Если у меня на стене появилась эта новость, мне нужно волноваться за свою учетку? Она и так у меня защищена почти по максимуму.

Ответить
31

Да. К тебя нагрянут домой люди в масках гаргулий и выебут в жеппу

Ответить
38

минус поставил. Боишься. Но это не поможет. Закроешь дверь, они проникнут через окно.

Ответить
3

Комментарий удален по просьбе пользователя

Ответить
1

Если в ленте, то нет. Главное сам не переходи по ссылкам

Ответить
0

не, я перешел когда увидел в первый раз, в хорошо знакомом мне паблике. Потом обнаружил эту новость у себя на стене.

Ответить
1

Нет. Перейдя по ссылке ты скриптом нажал кнопку "расшарить", твой пароль никуда не слился

Ответить
0

спасибо!

Ответить
1

Комментарий удален по просьбе пользователя

Ответить
2

яндекс шарит

Ответить
0

Яндекс.Шарит
так лучше

Ответить
9

Да, скорее всего опять XSS.

Ответить
5

Достаточно перейти по ссылке и всё: ты тоже расшариватель

Ответить
1

Если профиль закрыт, то не работает.

Ответить
0

Ага, уязвимость в AMP страницах.

Ответить
7

у ссука, как банить за иди нахуй, так за секунду прилетает, а как спамера забанить так думать надо.

Ответить
0

Это потому что Цыплухин...

Ответить
6

Комментарий удален по просьбе пользователя

Ответить
0

Самое смешное, что репорты сыпятся им в корпоративный чат, а никакого реагирования до сих пор нет.

Ответить
1

Комментарий удален по просьбе пользователя

Ответить
0

ты думаешь это так просто?

Ответить
0

Комментарий удален по просьбе пользователя

Ответить
0

да там уже аккаунтов пять было

Ответить
0

Он тут не один такой, сразу несколько ботов проснулось

Ответить
5
Ответить
4

Да по IP его баньте и всё

Ответить
1

Лучше закрыть регистрацию по вк

Ответить
1

Комментарий удален по просьбе пользователя

Ответить
1

Комментарий удален по просьбе пользователя

Ответить
1

Надо больно наказать Ширяева

Ответить
0

Им повесить замочек проще, кстати, чем закрывать регистрацию через соцсеть.

Ответить
0

Ширяев приди, порядок наведи!!!

Ответить
0

VPN штука такая...

Ответить
0

Мне кажется, он не умеет в впн
Интеллект не прокачен

Ответить
0

Не спорь с ботом

Ответить
0

Меня, наверное, не пощадят при восстании машин, но я считаю, что стою выше машины. Следовательно, машина должна уважать человека

Ответить
4

А помните точно такую же тему, но с репостами про убийство Навального? Это что, фиче уже год что ли?

Ответить
0

С праздником!

Ответить
4

ПОМОГИТЕ, ПОЖАЛУЙСТА
ТЕЛЕФОНУ БОЛЬНО

Ответить
1

Интересно, Никита орал на Дамира, чтобы он немедлено сварганил такую горячую статью и не упустил момент?

Ответить
3

Так и должен работать главред. А не продвигать перепечатки с опозданием в 6+ часов.

Ответить
1

30 тысяч просмотров за 30 минут. Ух, сколько бабла с рекламы на банерах. Можно было бы и закрепить эту статью в свежем. И плашку поставить, срочная новость

Ответить
2

Сколько?

Ответить
0

На дошираки редакторам должно хватить

Ответить
0

Нам за просмотры не платят)

Ответить
0

Нам платят?

Ответить
0

Но трафик же как-то конвертируется в деньги?

Ответить
0

Это не ко мне вопросы, может и конвертируется)

Ответить
1

И чтобы мигало ещё!

Ответить
0

Тут больше привлечение внимание к бренду в целом.

Ответить
2

Там в начале Юрец Галкин очень оперативно притащил, так что спасибо ему

Ответить
3

Юлец

Ответить
2

А ты еще кто такой?

Ответить
1

Парень, имя которого часто путают (случайно и специально)

Ответить
3

Встратая ФСБшная сеть опять обосралась, какое открытие

Ответить
2

о нюфаги понабежали

Ответить
2

Боты какие-то

Ответить
2

Пора бежать назуй из ВК. Этот Титаник уже не спасти.

Ответить
1

Борт этого Титаника треснул ещё тогда, когда Паштета выгнали из ВК

Ответить
2

Комментарий удален по просьбе пользователя

Ответить
2

не только в сообществах

Ответить
1

Да вроде все как всегда

Ответить
0

красивая девушка на фото)

Ответить
0

Обычная накрашенная шкура

Ответить
1

еще один повод перейти в телеграмм )

Ответить
1

какие еще нахуй айтишники?

Ответить
1

Ебать на последних комментах минусов...

Ответить
1

Дамир, кто нибудь, умоляю, забаньте этого Коровина
Уведомления болят уже

Ответить
0

Спасибо большое

Ответить
1

Бан по причине коровин гей

Ответить
0

Комментарий удален по просьбе пользователя

Ответить
1

Забаньте Коровина, прошу

Ответить
1

Все пишут что это произошло во второй раз, но если что это уже третий раз.

Ответить
1

немножко инфы

Ответить
1

извинити, не прикрепилось

Ответить
0

Комментарий удален по просьбе пользователя

Ответить
1

Комментарий удален по просьбе пользователя

Ответить
1

4294967296 * Math.floor(1e6 * Math.random()) + b, где b - id паблика (это прям из кода, который использовался). Переполнение, скорее всего

Ответить
0

Комментарий удален по просьбе пользователя

Ответить
1

Зато олимпиадники код писали ¯\_(ツ)_/¯

Ответить
3

Комментарий удален по просьбе пользователя

Ответить
0

Имеют право!

Ответить
0

у меня закрыта уже

Ответить
0

Комментарий удален по просьбе пользователя

Ответить
0

У меня в личке в моих группах пока не наблюдается

Ответить
0

И фичаосы забанили, кек

Ответить
0

Было очень давно ещё до «смерти Навального», там какая-то странная ссылка, которая ни на что не вела, но после перехода на твою страницу тоже репостилось

Ответить
0

Раньше было лучше. Стало очень неудобно.

Ответить
0

это Bagosi запустили, они уже в пермаче

Ответить
0

Это произошло примерно так

Ответить
0
Ответить
0

Почему браузер исполняет внешний скрипт?

Ответить
0

Законом не запрещено, демократия

Ответить

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

0

в сообществе «Багосы», где сидят программисты и айтишники, специализирующиеся на поиске уязвимостей во «ВКонтакте»

Ha-ha-ha!

Ответить
0

‘“><img src=x onerror=alert();>

Ответить
0

Балин, радует конечно, что уязвимость так лайтово эксплуатировали. Как минимум могли тупо вымогать деньги от лица ВК, хитро у пользователя запрашивать пароль для «повторной» аунтефикации в сети с отправкой третьим лицам, а как максимум просто вирусно все везде удалять у пользователей, администраторов.
Впрочем никто и не говорит что например вариант с паролями никто не эксплуатировал. Дырень уже существует очень давно (годик с момента репорта), вполне возможно кто-то тихонечко этим уже пользовался, поэтому насчет «пароли администраторов в безопасности» я бы не бегал и не кричал :)

Ответить
0

Багосы это типа alert('xak') в 2019?

Ответить
0

а Багосов теперь забанили)))

Ответить

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

–1

Антон, маякни если ты здесь

Ответить
–2

Хочу умереть

Ответить

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

Комментарий удален

–4

А как вы относитесь к Багосам?

Ответить
–4

Опять он..

Ответить