Хакеры из мести взломали социальную сеть ВКонтакте

Вечером 14 февраля в работе соцсети ВКонтакте произошел масштабный сбой. Пользователи стали массово получать личные сообщения со ссылкой, при нажатии на которую аналогичная публикация появлялась на стене адресата и всех его сообществ. Как выяснилось, причиной странного поведения социальной сети стала не эпидемия вируса, а действия хакеров, недовольных политикой администрации популярного ресурса, сообщает gazeta.ru.

Причиной инцидента, как стало известно позднее, стала уязвимость, позволяющая выполнить произвольный код JavaScript, однако причину сбоя сотрудники компании сообщили не сразу. Ответственность за «взлом» соцсети взяло на себя сообщество «БАГОСИ [убежище багосов]».

Хакеры заявили, что пошли на такой шаг из мести администрации «ВКонтакте», которая не выплатила им вознаграждение за поиск и устранение уязвимостей в программном коде. По их словам, они специально не сообщили о единственной ошибке в коде, которой в итоге и воспользовались, чтобы напомнить о себе. И отметили, что намеренно не причинили вреда пользователям.

«Для тех, кому интересно, что произошло. В статью был встроен скрипт, который постил ссылку во все администрируемые группы и на личную страницу пользователя. Пока пользователь читал текст, он выполнялся, при этом личные данные никуда не утекали. Уязвимость использовалась та же, что и год назад, тогда сотрудники ВКонтакте кинули и не выплатили баунти, в итоге было решено ее использовать, но не нанося вред пользователям. Что ж, шалость удалась. К сожалению, основную группу забанили, но надеемся, что у сотрудников еще осталось чувство юмора и ее разбанят. Так как уязвимость принадлежала пользователю, который больше не занимается их поиском, это было в последний раз», — гласит запись в одной из групп сообщества.

Представители социальной сети уже заверили клиентов в отсутствии утечки личных данных и паролей от аккаунтов. Так, выполнение стороннего кода приводило лишь к нежелательному репосту исходного сообщения — учетная запись не затрагивалась.

«В некоторых сообществах появились нежелательные публикации: переход по ссылке приводил к распространению новых записей с ней. Ситуация под контролем. Уязвимость была полностью закрыта в течение 20 минут, удалять нежелательные публикации мы начали в течение первой минуты после обнаружения. Сообщества не были взломаны, пароли их администраторов в безопасности», — сообщила пресс-служба ВКонтакте.

В настоящий момент основная группа хакерского сообщества по-прежнему заблокирована в связи с «возможным нарушением правил сайта».