В социальной сети «ВКонтакте» была обнаружена брешь, которую использовали для публикации одинаковой рекламы в сотнях групп. В личных сообщения приходит ссылка, при клике на которой открывается пост «Команды ВКонтакте» с заголовком «ВКонтакте запустили рекламу в сообщениях». А параллельно с этим в профиле и сообществах пользователя размещалась реклама. Это началось 14 февраля.
Суть бреши кроется в XSS-уязвимости, через которую злоумышленники внедрили JS-скрипт. Брешь позволяла выполнять произвольных JavaScript-код, что дало возможность спамить рекламой по всей сети.
«Уязвимость была полностью закрыта в течение 20 минут, удалять нежелательные публикации мы начали в течение первой минуты после обнаружения уязвимости. Пользовательские данные и пароли находятся в безопасности, личные страницы и сообщества не были взломаны.
Мы оперативно проведём продуктовые обновления, чтобы предотвратить такие ситуации в будущем.
Мы приносим извинения пользователям, столкнувшимся с возможными неудобствами из-за данного инцидента, и благодарим всех, кто поддержал нас», — заявили в пресс-службе «ВКонтакте».
Интересно, что информация о новом баге появилась за сутки до сбоя в сообществе «Багосы», где основную аудиторию составляют программисты и айтишники. Они специализируются на поиске уязвимостей во «ВКонтакте». Там и появились первые посты о новой проблеме. В свою очередь, администраторы группы предложили пользователям собрать несколько сотен лайков, чтобы руководство паблика узнало о баге.
После начала атаки сообщество «Багосы» заблокировали с формулировкой о подозрительной деятельности, хотя их причастность к сбою пока не установлена. При этом сама социальная сеть хоть и работает, но многие жалуются на «тормоза».
Источник: 3dnews
