Хакеры взломали «ВКонтакте» ради мести

Вечером 14 февраля в работе «ВКонтакте» произошёл масштабный сбой. Пользователи стали массово получать личные сообщения со ссылкой, при нажатии на которую аналогичная публикация появлялась на стене адресата и всех его сообществ. Как выяснилось, причиной странного поведения социальной сети стала не эпидемия вируса, а действия хакеров, недовольных политикой администрации популярного ресурса.

Причиной инцидента, как стало известно позднее, стала уязвимость, позволяющая выполнить произвольный код JavaScript, однако причину сбоя сотрудники компании сообщили не сразу. Ответственность за «взлом» соцсети взяло на себя сообщество «БАГОСИ [убежище багосов]».

Хакеры заявили, что пошли на такой шаг из мести администрации «ВКонтакте», которая не выплатила им вознаграждение за поиск и устранение уязвимостей в программном коде. По их словам, они специально не сообщили о единственной ошибке в коде, которой в итоге и воспользовались, чтобы напомнить о себе. И отметили, что намеренно не причинили вреда пользователям.

«Для тех, кому интересно, что произошло. В статью был встроен скрипт, который постил ссылку во все администрируемые группы и на личную страницу пользователя. Пока пользователь читал текст, он выполнялся, при этом личные данные никуда не утекали. Уязвимость использовалась та же, что и год назад, тогда сотрудники ВКонтакте кинули и не выплатили баунти, в итоге было решено её использовать, но не нанося вред пользователям. Что ж, шалость удалась. К сожалению, основную группу забанили, но надеемся, что у сотрудников ещё осталось чувство юмора и её разбанят. Так как уязвимость принадлежала пользователю, который больше не занимается их поиском, это было в последний раз», — гласит запись в одной из групп сообщества.

Представители социальной сети уже заверили клиентов в отсутствии утечки личных данных и паролей от аккаунтов. Так, выполнение стороннего кода приводило лишь к нежелательному репосту исходного сообщения — учётная запись не затрагивалась.

«В некоторых сообществах появились нежелательные публикации: переход по ссылке приводил к распространению новых записей с ней. Ситуация под контролем. Уязвимость была полностью закрыта в течение 20 минут, удалять нежелательные публикации мы начали в течение первой минуты после обнаружения. Сообщества не были взломаны, пароли их администраторов в безопасности», — сообщила пресс-служба «ВКонтакте».

В настоящий момент основная группа хакерского сообщества по-прежнему заблокирована в связи с «возможным нарушением правил сайта».

Источник: 4PDA

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *