Во «ВКонтакте» произошел массовый сбой
Сообщества и профили во «ВКонтакте» вечером 14 февраля начали публиковать одну и ту же запись. В ней говорится о том, что в личных сообщениях в соцсети появилась реклама. Во «ВКонтакте» сказали, что «оперативно решают проблему», сообщает TJournal.
Вероятно, уязвимость связана с XSS-защитой социальной сети. Ссылка в рекламной записи вела на пост в группе «Команды ВКонтакте». При переходе по ссылке рекламная запись публиковалась во всех профилях и сообществах, которыми управляет пользователь. Скорее всего, при публикации включался JS-код, исполняемый у всех пользователей.
За сутки до взлома в сообществе «Багосы», где «сидят» программисты, специализирующиеся на поиске уязвимостей во «ВКонтакте», опубликовали несколько записей про новый баг. Администраторы паблика предлагали участникам собрать несколько сотен лайков, после чего они расскажут про уязвимость.
После того как 14 февраля во «ВКонтакте» начали появляться одинаковые записи, сообщество «Багосы» заблокировали с формулировкой о подозрительной деятельности.
После представители «ВКонтакте» опровергли предположение о массовом взломе пользователей.
Спустя какое-то время администраторы «Багосов» подтвердили, что устроили массовую рассылку, и пояснили, что личные данные пользователей не были затронуты.
Они воспользовались той же уязвимостью, которая позволила в 2017 году массово разослать по сообществам во «ВКонтакте» пост о смерти Алексея Навального. Они также указали, что проделали это, чтобы отомстить «ВКонтакте» за невыплату вознаграждения за поиск багов. Впрочем, представители соцсети отметили, что «Багосы» использовали другую уязвимость, а за предыдущие всегда получали деньги.