14 февраля людям в ВК стали приходить личные сообщения со ссылкой, при нажатии на которую в профиле пользователя и сообществах публиковалась одна и та же запись.
Злоумышленники заявили, что решили таким образом наказать администрацию "ВКонтакте" за то, что та не выплатила им вознаграждение за найденные и устраненные уязвимости в программном коде.
Как сообщили хакеры, они специально не сообщили о единственной ошибке в коде, которой они воспользовались, чтобы напомнить о себе. Однако они отметили, что делали это так, чтобы не причинить вреда пользователям.
Вот что заявило некое сообщество БАГОСИ:
В статью был встроен скрипт, который постил ссылку во все администрируемые группы и на личную страницу пользователя. Пока пользователь читал текст, он выполнялся, при этом личные данные никуда не утекали. ...Уязвимость использовалась та же, что и год назад (Демократия), тогда сотрудники "ВКонтакте" кинули и не выплатили баунти, в итоге было решено ее использовать, но не нанося вред пользователям. Тогда, после устранения уязвимости, было найдено множество обходов, но даже спасибо мы за них не получили. В итоге остался последний обход, который мы берегли целый год. Сегодня за несколько часов был написан код. Чтобы посты было сложнее сносить антиспамом и записи продержались хотя бы полчаса, заголовок и комментарий подбирались рандомно. Что ж, шалость удалась. К сожалению, основную группу забанили, но надеемся, что у сотрудников еще осталось чувство юмора и ее разбанят.
Администрация "ВКонтакте" заявила, что справилась с ситуацией спустя 20 минут после атаки. Ночью 15 февраля команда соцсети выпустила следующее сообщение:
В некоторых сообществах появились нежелательные публикации: переход по ссылке приводил к распространению новых записей с ней. Ситуация под контролем. Сообщества не были взломаны, пароли их администраторов в безопасности.
Самое важное - в нашем Telegram-канале
