Технологии
Дамир Камалетдинов

Во «ВКонтакте» произошёл массовый сбой — профили и сообщества публикуют одну запись

На сотнях страниц появилась ссылка на пост про рекламу в личных сообщениях.

Обновлено в 22:06: «ВКонтакте» рассказала TJ, что устранила уязвимость, и извинилась перед пользователями.

Продолжение:
<a href="https://tjournal.ru/internet/88078-kto-i-zachem-organizoval-massovuyu-rassylku-odinakovoy-zapisi-vo-vkontakte" rel="nofollow noopener" target="_blank">кто и зачем организовал массовую рассылку одинаковой записи во «ВКонтакте»</a>

Сообщества и профили во «ВКонтакте» вечером 14 февраля начали публиковать одну и ту же запись. В ней говорилось, что в личных сообщениях в соцсети появилась реклама. При переходе по ссылке открывается пост «Команды ВКонтакте» с заголовком «ВКонтакте запустили рекламу в сообщениях».

Причиной сбоя стала XSS-уязвимость в социальной сети. Злоумышленникам удалось внедрить в страницу поста JS-скрипт, который публиковал рекламную запись в профиле и сообществах пользователя.

Во «ВКонтакте» подтвердили, что уязвимость позволяла исполнять произвольный JS-код и её уже исправляют. В соцсети напомнили, что исследователи могут получить вознаграждение за найденные уязвимости через программу HackerOne.

Ситуация под контролем, мы начали удалять нежелательные публикации в течение первой минуты после обнаружения уязвимости.

Переход по ссылкам приводил к эффекту волны и дальнейшему распространению публикаций. Уязвимость, которая позволяла выполнять произвольный js [код], уже исправляется.

Сообщества не были взломаны, пароли аккаунтов администраторов в безопасности.

пресс-служба «ВКонтакте»

За сутки до сбоя в сообществе «Багосы», где сидят программисты и айтишники, специализирующиеся на поиске уязвимостей во «ВКонтакте», опубликовали несколько записей про новый баг. Администраторы паблика предлагали участникам собрать несколько сотен лайков, после чего они расскажут про уязвимость.

После того, как 14 февраля во «ВКонтакте» начали появляться одинаковые записи, сообщество «Багосы» заблокировали с формулировкой о подозрительной деятельности. Под одинаковыми постами пользователи писали сообщения об этом вроде «Опять эти Багосы» и «Багосы *******».

Обновлено в 22:06: представители «ВКонтакте» рассказали TJ, что полностью устранили уязвимость в течение 20 минут. Соцсеть также извинилась перед своими пользователями.

Пользовательские данные и пароли находятся в безопасности, личные страницы и сообщества не были взломаны. Мы оперативно проведём продуктовые обновления, чтобы предотвратить такие ситуации в будущем.

Мы приносим извинения пользователям, столкнувшимся с возможными неудобствами из-за данного инцидента, и благодарим всех, кто поддержал нас.

пресс-служба «ВКонтакте»

Это не первый случай использования XSS-уязвимости во «ВКонтакте» для репостов. В 2013 году пользователь Ирек Мавлиев опубликовал у себя на странице ссылку на приложение, которое автоматически размещало его пост на страницах и в сообществах пользователей. Благодаря этому ему за полчаса удалось собрать 80 тысяч репостов. Тогда уязвимость реализовали через плеер Flash.

#соцсети #баги #новости