{"id":2165,"url":"\/distributions\/2165\/click?bit=1&hash=f1591276911b1fa4d2444d829b6f1ae526795f52036f42835a09ce8f12e47653","title":"\u041a\u0430\u043a \u043f\u043e\u043f\u0430\u0441\u0442\u044c \u0432 \u0435\u0434\u0438\u043d\u0441\u0442\u0432\u0435\u043d\u043d\u043e\u0435 \u043c\u0435\u0441\u0442\u043e \u0432 \u0420\u043e\u0441\u0441\u0438\u0438 \u0441 \u0447\u0430\u0439\u043d\u044b\u043c\u0438 \u043f\u043b\u0430\u043d\u0442\u0430\u0446\u0438\u044f\u043c\u0438","buttonText":"\u0423\u0437\u043d\u0430\u0442\u044c","imageUuid":"d85f2cfe-e0d7-5ad7-8507-983bc3b55643","isPaidAndBannersEnabled":false}

Во «ВКонтакте» произошёл массовый сбой — профили и сообщества публикуют одну запись Статьи редакции

На сотнях страниц появилась ссылка на пост про рекламу в личных сообщениях.

Обновлено в 22:06: «ВКонтакте» рассказала TJ, что устранила уязвимость, и извинилась перед пользователями.

Сообщества и профили во «ВКонтакте» вечером 14 февраля начали публиковать одну и ту же запись. В ней говорилось, что в личных сообщениях в соцсети появилась реклама. При переходе по ссылке открывается пост «Команды ВКонтакте» с заголовком «ВКонтакте запустили рекламу в сообщениях».

Причиной сбоя стала XSS-уязвимость в социальной сети. Злоумышленникам удалось внедрить в страницу поста JS-скрипт, который публиковал рекламную запись в профиле и сообществах пользователя.

Во «ВКонтакте» подтвердили, что уязвимость позволяла исполнять произвольный JS-код и её уже исправляют. В соцсети напомнили, что исследователи могут получить вознаграждение за найденные уязвимости через программу HackerOne.

Ситуация под контролем, мы начали удалять нежелательные публикации в течение первой минуты после обнаружения уязвимости.

Переход по ссылкам приводил к эффекту волны и дальнейшему распространению публикаций. Уязвимость, которая позволяла выполнять произвольный js [код], уже исправляется.

Сообщества не были взломаны, пароли аккаунтов администраторов в безопасности.

пресс-служба «ВКонтакте»

За сутки до сбоя в сообществе «Багосы», где сидят программисты и айтишники, специализирующиеся на поиске уязвимостей во «ВКонтакте», опубликовали несколько записей про новый баг. Администраторы паблика предлагали участникам собрать несколько сотен лайков, после чего они расскажут про уязвимость.

После того, как 14 февраля во «ВКонтакте» начали появляться одинаковые записи, сообщество «Багосы» заблокировали с формулировкой о подозрительной деятельности. Под одинаковыми постами пользователи писали сообщения об этом вроде «Опять эти Багосы» и «Багосы *******».

Обновлено в 22:06: представители «ВКонтакте» рассказали TJ, что полностью устранили уязвимость в течение 20 минут. Соцсеть также извинилась перед своими пользователями.

Пользовательские данные и пароли находятся в безопасности, личные страницы и сообщества не были взломаны. Мы оперативно проведём продуктовые обновления, чтобы предотвратить такие ситуации в будущем.

Мы приносим извинения пользователям, столкнувшимся с возможными неудобствами из-за данного инцидента, и благодарим всех, кто поддержал нас.

пресс-служба «ВКонтакте»

Это не первый случай использования XSS-уязвимости во «ВКонтакте» для репостов. В 2013 году пользователь Ирек Мавлиев опубликовал у себя на странице ссылку на приложение, которое автоматически размещало его пост на страницах и в сообществах пользователей. Благодаря этому ему за полчаса удалось собрать 80 тысяч репостов. Тогда уязвимость реализовали через плеер Flash.

Спасибо за наводку Yuliy Galkin
0
155 комментариев
Написать комментарий...
Тайный рубин

TJ традиционно без комментариев

Ответить
Развернуть ветку
Серый цвет

бля, это тупа вин

Ответить
Развернуть ветку
1 комментарий
Серый цвет

вот что находится в репе по линке

Ответить
Развернуть ветку
2 комментария
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Илья Башкиров

Самое офигенное когда проблема ОЧЕВИДНО на их стороне, их лучшее предложение это УСТАНОВИТЕ НАШ АНТИВИРУС и проверьте пк, ага спасибо, я не голодный

Ответить
Развернуть ветку
Матвей Корепанов

Ой, согласен, точно так же было: неделю утверждали, что не воспроизводится, хотя я им готовый скрипт кидал. Спустя несколько недель выплатили крохотную сумму за довольно большую уязвимость.

Ответить
Развернуть ветку
Thomas O'Harriedge

В мобильном приложении у некоторых контактов исчезла переписка. Через сайт доступна, что характерно

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Sasha Blashenkov

XSS, ребятки

Ответить
Развернуть ветку
Контрольный единорожек88

Ржака. Прикол. Угар.

Ответить
Развернуть ветку
1 комментарий
Sasha Blashenkov

Если вдруг кому интересно посмотреть этот файл, вот его копия https://gist.github.com/thetrall/3768f22d0cc4d27085e4a38975a1bd33 (немного отформатирована)

Ответить
Развернуть ветку
5 комментариев
Александр Занегин

Зато как рекламу в аудио через каждые три трека сделать, или к Searchface до###ться, это мы тут как тут!

Ответить
Развернуть ветку
Nikita Gorokhov

ну слышь, нормально же общались...

Ответить
Развернуть ветку
1 комментарий
Valery Kirichenko

Будет жарко (особенно серверам ТЖ)

Ответить
Развернуть ветку
Названый фонарь

Тж уже упасть немношк успел

Ответить
Развернуть ветку
Это не шутки

Наверно это будет самая просматривая новость от Дамира

Ответить
Развернуть ветку
4 комментария
Михаил Кометов

Мне при заходе на эту страницу уже выдало 503)

Ответить
Развернуть ветку
Юрий Белоусов

Нужно скорее пуш/в соцсети

Ответить
Развернуть ветку
Совершенный браслет

Комментарий недоступен

Ответить
Развернуть ветку
12345

Откуда столько народу идет?

Ответить
Развернуть ветку
1 комментарий
zvuv

Господа знатоки. Поясните. Если у меня на стене появилась эта новость, мне нужно волноваться за свою учетку? Она и так у меня защищена почти по максимуму.

Ответить
Развернуть ветку
Что происходит.

Да. К тебя нагрянут домой люди в масках гаргулий и выебут в жеппу

Ответить
Развернуть ветку
2 комментария
Положительный хот-дог

Если в ленте, то нет. Главное сам не переходи по ссылкам

Ответить
Развернуть ветку
3 комментария
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Филипп Дориан
Ответить
Развернуть ветку
Robert Váska

яндекс шарит

Ответить
Развернуть ветку
1 комментарий
Кирилл Алексеев

https://tjournal.ru/internet/64089-v-soobshchestvah-administracii-vkontakte-razmestili-feykovuyu-novost-o-smerti-navalnogo

Полтора года прошло, а эти макаки походу до сих пор не пофиксили ничего :D

Ответить
Развернуть ветку
Андрей Балабанов

согласен

Ответить
Развернуть ветку
Польский молоковоз

Тоже вспомнил

Ответить
Развернуть ветку
Илья

Да, скорее всего опять XSS.

Ответить
Развернуть ветку
Yuliy Galkin
Автор

Достаточно перейти по ссылке и всё: ты тоже расшариватель

Ответить
Развернуть ветку
3 комментария
Аккаунт заморожен

Комментарий недоступен

Ответить
Развернуть ветку
Совершенный браслет

Комментарий недоступен

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Годовой Орзэмэс

Самое смешное, что репорты сыпятся им в корпоративный чат, а никакого реагирования до сих пор нет.

Ответить
Развернуть ветку
5 комментариев
noname
Ответить
Развернуть ветку
Yuliy Galkin
Автор

Да по IP его баньте и всё

Ответить
Развернуть ветку
Это не шутки

Лучше закрыть регистрацию по вк

Ответить
Развернуть ветку
5 комментариев
Николай Лжепляскин

VPN штука такая...

Ответить
Развернуть ветку
3 комментария
Andre Macareno

А помните точно такую же тему, но с репостами про убийство Навального? Это что, фиче уже год что ли?

Ответить
Развернуть ветку
Базовый холод

С праздником!

Ответить
Развернуть ветку
Yuliy Galkin
Автор

ПОМОГИТЕ, ПОЖАЛУЙСТА
ТЕЛЕФОНУ БОЛЬНО

Ответить
Развернуть ветку
Николай Лжепляскин

Вот ++

Ответить
Развернуть ветку
Аккаунт заморожен

Комментарий недоступен

Ответить
Развернуть ветку
Положительный хот-дог

Интересно, Никита орал на Дамира, чтобы он немедлено сварганил такую горячую статью и не упустил момент?

Ответить
Развернуть ветку
Годовой Орзэмэс

Так и должен работать главред. А не продвигать перепечатки с опозданием в 6+ часов.

Ответить
Развернуть ветку
9 комментариев
Что происходит.

Там в начале Юрец Галкин очень оперативно притащил, так что спасибо ему

Ответить
Развернуть ветку
3 комментария
Совершенный браслет

Комментарий недоступен

Ответить
Развернуть ветку
Что происходит.

о нюфаги понабежали

Ответить
Развернуть ветку
Это не шутки

Боты какие-то

Ответить
Развернуть ветку
Денис Елагин

Пора бежать назуй из ВК. Этот Титаник уже не спасти.

Ответить
Развернуть ветку
Иван Андреев

Борт этого Титаника треснул ещё тогда, когда Паштета выгнали из ВК

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Вадим Девятков

не только в сообществах

Ответить
Развернуть ветку
Дмитрий Грибоедов

Да вроде все как всегда

Ответить
Развернуть ветку
Миша Белый

красивая девушка на фото)

Ответить
Развернуть ветку
1 комментарий
Миша Белый

еще один повод перейти в телеграмм )

Ответить
Развернуть ветку
испанский смех

какие еще нахуй айтишники?

Ответить
Развернуть ветку
Евгений Стратовский

Ебать на последних комментах минусов...

Ответить
Развернуть ветку
Yuliy Galkin
Автор

Дамир, кто нибудь, умоляю, забаньте этого Коровина
Уведомления болят уже

Ответить
Развернуть ветку
Yuliy Galkin
Автор

Спасибо большое

Ответить
Развернуть ветку
Николай Лжепляскин

Бан по причине коровин гей

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Николай Лжепляскин

Забаньте Коровина, прошу

Ответить
Развернуть ветку
Игорь Угрюмый

Все пишут что это произошло во второй раз, но если что это уже третий раз.

Ответить
Развернуть ветку
Сергей Кузнецов

Отформатированный код с комментариями (уязвимость очевидная, на самом деле) – https://gist.github.com/Amaimersion/a57cfef67c24933a641b4ea8eb503e7e

Ответить
Развернуть ветку
фиолетовый бобер

немножко инфы

Ответить
Развернуть ветку
фиолетовый бобер

извинити, не прикрепилось

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
6 комментариев
Серый цвет

у меня закрыта уже

Ответить
Развернуть ветку
1 комментарий
Серый цвет

вот что находится в репе по линке

Ответить
Развернуть ветку
Серый цвет

https://vk.com/bagosy - этот пабл причастен

Ответить
Развернуть ветку
Donnie Darko

У меня в личке в моих группах пока не наблюдается

Ответить
Развернуть ветку
Zasad Asdasd

И фичаосы забанили, кек

Ответить
Развернуть ветку
Александр Борис

Багосы опять шалят
https://vk.com/wall-166061763_1931

Ответить
Развернуть ветку
Александр Хнычков

Было очень давно ещё до «смерти Навального», там какая-то странная ссылка, которая ни на что не вела, но после перехода на твою страницу тоже репостилось

Ответить
Развернуть ветку
Дмитрий Сорокин

Раньше было лучше. Стало очень неудобно.

Ответить
Развернуть ветку
Dmitry Zemlyakov

это Bagosi запустили, они уже в пермаче

Ответить
Развернуть ветку
Серый цвет

ещё нет

Ответить
Развернуть ветку
Тимур Даутов
Ответить
Развернуть ветку
Виктор Евлампьев

Это произошло примерно так

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
hahahahahahahhahahahhahahahhah

bagosы <3

Ответить
Развернуть ветку
Potential Helicopter

Почему браузер исполняет внешний скрипт?

Ответить
Развернуть ветку
Owl Tah

Законом не запрещено, демократия

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Ещё 82 комментария
Читать все 155 комментариев
null