Следующая новость
Предыдущая новость

Баг «ВКонтакте»: все публикуют одну и ту же запись

15.02.2019 1:22
Баг «ВКонтакте»: все публикуют одну и ту же запись

Рекомендуем почитать:

Xakep #238. Забытый Android

  • Содержание выпуска
  • Подписка на «Хакер»

Сегодня вечером (14 февраля 2019 года), по социальной сети подобно червю стало массово распространяться сообщение с «новостью» о том, что в «ВКонтакте» появится реклама в личных сообщениях. Переход по ссылке из такого сообщения приводил к распространению новых записей.

Баг «ВКонтакте»: все публикуют одну и ту же запись

В настоящее время администрация «ВКонтакте» сообщает, что ситуация взята под контроль, а пострадавшие аккаунты не были взломаны, и пароли их администраторов в безопасности. В пресс-службе социальной сети сообщили, что инцидент произошел из-за уязвимости, позволявшей выполнить произвольный код JavaScript, и сейчас баг спешно исправляют (похоже, речь об XSS-баге). Также администрация напомнила, что люди, нашедшие уязвимость, могли бы заработать деньги с помощью bug bounty программы HackerOne.

Баг «ВКонтакте»: все публикуют одну и ту же запись

Судя по всему, волна публикаций берет начала из сообщества «Багосы» (теперь заблокированного), где своеобразный анонс уязвимости появился заранее. Сейчас представители сообщества утверждают, что нашли эту уязвимость еще в прошлом году. «Тогда, после устранения уязвимости, было найдено множество обходов, но даже спасибо мы за них не получили. В итоге остался последний обход, который мы берегли целый год», — гласит сообщение. Так как багхантерам, по их словам, не выплатили вознаграждение за баг, было решено использовать проблему, не нанося вреда пользователям.

Баг «ВКонтакте»: все публикуют одну и ту же запись

Источник

Последние новости