Во «ВКонтакте» произошел массовый взлом профилей и сообществ — во всех из них постится одна и та же запись с критикой несуществующего нововведения социальной сети. В записи говорится о том, что в личных сообщениях VK появилась реклама, а источником информации выступил распространитель фейковых новостей AKKet.

Подписаться на iGuides в Telegram, чтобы узнать обо всем первым — t.me/iguides

Коллеги из TJ сообщают, что причина загадочного появления постов может заключаться в уязвимости в XSS-защите социальной сети. При переходе по ссылке, рекламная запись публикуется во все профили и сообщества, которыми управляет пользователь.


Пример появляющихся записей

Днем 14 февраля в популярном сообществе «БАГОСЫ», участники и администраторы которого занимаются поиском уязвимостей в «ВК», опубликовали несколько записей про новый баг: рассказать о нем пообещали после сбора нескольких сотен лайков на соответствующих публикациях.



После того, как в профилях и сообществах «ВКонтакте» начали появляться одинаковые записи, паблик «Багосы» заблокировали «в связи с возможным нарушением правил сайта», а под появлявшимися везде постами пользователи писали сообщения «Опять эти Багосы».

Обновлено в 20:30:

Во «ВКонтакте» подтвердили, что уязвимость позволяла исполнять произвольный JS-код. Проблему уже исправляют:

«Ситуация под контролем, мы начали удалять нежелательные публикации в течение первой минуты после обнаружения уязвимости.

Переход по ссылкам приводил к эффекту волны и дальнейшему распространению публикаций. Уязвимость, которая позволяла выполнять произвольный js [код], уже исправляется», — пресс-служба «ВКонтакте».

---

iGuides в Telegram — t.me/iguides_ru
iGuides в Яндекс.Дзен — zen.yandex.ru/iguides.ru