Вечером 14 февраля на страницах и в группах в соцсети "Вконтакте" стало массово распространяться фейковое сообщение о запуске рекламы в личных сообщениях, которыми обмениваются пользователи. Как оказалось, эта сравнительно безобидная атака была местью хакеров компании, которая не выплатила премию за найденную уязвимость.
Текст в распространявшейся публикации и заголовок ссылки постоянно менялись. При этом встроенная ссылка вела на вики-страницу в верифицированном сообществе "Команда ВКонтакте". Она, в свою очередь, копировала публикацию из блога в LiveInternet. В этой публикации есть несколько ссылок, которые ведут на разные картинки, опубликованные на серверах "ВКонтакте", сообщает VC.ru.
Алерт! В #вконтакте массовый взлом
— McCoy ♡ (@bluemarinvo) 14 февраля 2019 г.
Не переходите по ссылкам такого вида pic.twitter.com/KZxD9IGWBB
Как пишет TJ, причиной сбоя стала XSS-уязвимость в социальной сети, при помощи которой хакерам удалось внедрить в страницу исходного поста JS-скрипт, публиковавший рекламную запись в профиле и сообществах, которыми управляет кликнувший по ней пользователь.
Вскоре представители "ВКонтакте" прокомментировали инцидент. В компании заявили, что специалисты удаляют нежелательный контент, а страницам и группам ничего не угрожает.
"Ситуация под контролем, мы начали удалять нежелательные публикации в течение первой минуты после обнаружения уязвимости. Переход по ссылкам приводил к эффекту волны и дальнейшему распространению публикаций. Уязвимость, которая позволяла выполнять произвольный js [код], уже исправляется. Сообщества не были взломаны, пароли аккаунтов администраторов в безопасности", – сообщили в пресс-службе "ВКонтакте".
Однако, по мнению специалистов, эта ситуация совсем не так безобидна, как считают в соцсети. Так, IT-эксперт Александр Литреев назвал заявление пресс-службы издевкой, отметив, что речь идет о возможности исполнения на страницах "ВКонтакте" произвольного кода.
"Опубликовать пост на странице – не самое страшное, что могло произойти. С помощью этой уязвимости можно было получить прямой и неограниченный доступ к любым данным аккаунта – от личной переписки до скрытых фотографий. Никому неизвестно, как была (и была ли) эксплуатирована эта дыра ранее – вполне допускаю, что злоумышленники могли, например, скомпрометировать переписку сотен пользователей и долго оставаться незамеченными", – отметил эксперт в своем Telegram-канале.
"О какой безопасности вообще можно говорить, если у "ВКонтакте" элементарно не настроена самая базовая политика безопасности CSP (Content Security Policy). Content Security Policy устанавливает перечень доверенных ресурсов, откуда могут подгружаться различные скрипты и прочие материалы. У Facebook, например, такая политика настроена. "ВКонтакте" же весьма халатно отнеслась к вопросу безопасности пользователей и уже далеко не первый раз", – написал Литреев.
"Шалость удалась": Соцсеть наказали за невыплату премии нашедшему уязвимость пользователю
Отметим, что накануне в сообществе под названием "Багосы", посвященном поиску уязвимостей во "ВКонтакте", было опубликовано сразу несколько записей про новый баг. Администраторы группы предлагали участникам поставить этим записям несколько сотен лайков, чтобы узнать подробности об этой уязвимости. После начала атаки страницу сообщества заблокировали.
Однако в другом сообществе ("Багоси") появилось сообщение с подробностями о баге и причинах его использования.
"Для тех, кому интересно, что произошло. В статью был встроен скрипт, который постил ссылку во все администрируемые группы и на личную страницу пользователя. Пока пользователь читал текст, он выполнялся, при этом личные данные никуда не утекали. Кстати, комментарии к записям были составлены из отзывов к программе "ВКонтакте" в Google Play и AppStore, а сама статья из кликбейтных новостей с сайта AKKet (это локальный мем, многие могут не знать, что это за сайт)", – говорится в записи.
В посте сообщается, что та же уязвимость использовалась около года назад, когда в соцсети распространялась фейковая новость об убийстве Алексея Навального. Тогда, по словам авторов записи, сотрудники соцсети не выплатили вознаграждение нашедшему баг пользователю. Эта уязвимость была устранена, но не до конца.
"Тогда, после устранения уязвимости, было найдено множество обходов, но даже спасибо мы за них не получили. В итоге остался последний обход, который мы берегли целый год. Сегодня за несколько часов был написан код. Чтобы посты было сложнее сносить антиспамом и записи продержались хотя бы полчаса, заголовок и комментарий подбирались рандомно. Что ж, шалость удалась. К сожалению, основную группу забанили, но надеемся, что у сотрудников еще осталось чувство юмора и ее разбанят. Так как уязвимость принадлежала пользователю, который больше не занимается их поиском, это было в последний раз", - говорится в сообщении.
Однако представители "ВКонтакте" сообщили TJ, что хакеры использовали другую уязвимость, а за обнаружение багов участники сообщества всегда получали деньги.