Домой Развлечения Сообщества ВКонтакте рассылают спам. Кто стоит за массовым сбоем

Сообщества ВКонтакте рассылают спам. Кто стоит за массовым сбоем

43

Во «ВКонтакте» 14 февраля произошел массовый сбой. Тысячи сообществ разместили одну и ту же ссылку на статью. Это происходит, если пользователь, администрирующий сообщество, переходит по ссылке.

Рассылка спама началась в 19:40 по московскому времени. За несколько минут взломанными оказались тысячи сообществ. Один и тот же рекламный пост появился в крупных пабликах, в том числе «Команды ВКонтакте», группы «вДудь» и сообществ федеральных СМИ.

Ссылка вела на вики-страницу в сообществе «Команда ВКонтакте». Уже в ней была размещена публикация из LiveInternet, посвященная фейковой новости о том, что соцсеть собирается внедрить рекламу в личные сообщения.

Скриншот новости:

Кто стоит за рассылкой спама «ВКонтакте»?

За этим стоит группа «Багоси» — ее участники занимаются поиском уязвимостей «ВКонтакте». Сразу после инцидента паблик заблокировали. Но остался запасной — «Багоси. Убежище багосов». Там первый пост с анонсом появился еще в 12:47 14 февраля.

Вот как это было:

Важно отметить, что сбой не является взломом. Пароли аккаунтов администраторов в безопасности. Если вы нажали на ссылку, нужно проверить все сообщества, которые вы администрируете. «ВКонтакте» сообщила, что уже устраняет проблему.

Как такое возможно?

Сбой произошел из-за уязвимости в XSS-защите социальной сети. Вот как описывают техническую сторону процесса представители паблика «Багоси»:

«В статью был встроен скрипт, который постил ссылку во все администрируемые группы и на личную страницу пользователя. Пока пользователь читал текст, он выполнялся, при этом личные данные никуда не утекали. Кстати, комментарии к записям были составлены из отзывов к программе ВКонтакте в Google Play и AppStore, а сама статья из кликбейтных новостей с сайта AKKet.

Уязвимость использовалась та же, что и год назад, тогда сотрудники ВКонтакте кинули и не выплатили баунти, в итоге было решено её использовать, но не нанося вред пользователям. После устранения уязвимости, было найдено множество обходов, но даже спасибо мы за них не получили. В итоге остался последний обход, который мы берегли целый год.

Сегодня за несколько часов был написан код. Чтобы посты было сложнее сносить антиспамом и записи продержались хотя бы полчаса, заголовок и комментарий подбирались рандомно. Что ж, шалость удалась. К сожалению, основную группу забанили, но надеемся, что у сотрудников еще осталось чувство юмора и её разбанят».

В 2017 году «Багосы» уже проводили аналогичный рейд. Тогда тысячи сообществ опубликовали пост с новостью о смерти Алексея Навального.

Комментарии

Пожалуйста, авторизуйтесь чтобы добавить комментарий.
  Подписаться  
Уведомление о

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: