Во «ВКонтакте» произошёл массовый сбой — злоумышленники спамят одинаковой рекламой

В социальной сети «ВКонтакте» была обнаружена брешь, которую использовали для публикации одинаковой рекламы в сотнях групп. В личных сообщения приходит ссылка, при клике на которой открывается пост «Команды ВКонтакте» с заголовком «ВКонтакте запустили рекламу в сообщениях». А параллельно с этим в профиле и сообществах пользователя размещалась реклама. Это началось 14 февраля.

pixabay.com

pixabay.com

Суть бреши кроется в XSS-уязвимости, через которую злоумышленники внедрили JS-скрипт. Брешь позволяла выполнять произвольных JavaScript-код, что дало возможность спамить рекламой по всей сети.

«Уязвимость была полностью закрыта в течение 20 минут, удалять нежелательные публикации мы начали в течение первой минуты после обнаружения уязвимости. Пользовательские данные и пароли находятся в безопасности, личные страницы и сообщества не были взломаны.

Мы оперативно проведём продуктовые обновления, чтобы предотвратить такие ситуации в будущем.

Мы приносим извинения пользователям, столкнувшимся с возможными неудобствами из-за данного инцидента, и благодарим всех, кто поддержал нас», — заявили в пресс-службе «ВКонтакте».

twitter.com

twitter.com

Интересно, что информация о новом баге появилась за сутки до сбоя в сообществе «Багосы», где основную аудиторию составляют программисты и айтишники. Они специализируются на поиске уязвимостей во «ВКонтакте». Там и появились первые посты о новой проблеме. В свою очередь, администраторы группы предложили пользователям собрать несколько сотен лайков, чтобы руководство паблика узнало о баге.

После начала атаки сообщество «Багосы» заблокировали с формулировкой о подозрительной деятельности, хотя их причастность к сбою пока не установлена. При этом сама социальная сеть хоть и работает, но многие жалуются на «тормоза». 

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

© 3DNews