Кто и зачем взломал «ВКонтакте»

Вечером 14 февраля пользователи «ВКонтакте» обнаружили, что неизвестные лица отправляют им в сообщения ссылки, при нажатии на которые во всех профилях и группах пользователя публикуется идентичная запись. Ссылка якобы сообщала о том, что в социальной сети появится реклама в личных сообщениях. Об этом сообщает портал «Газета.Ru».

«В некоторых сообществах появились нежелательные публикации: переход по ссылке приводил к распространению новых записей с ней. Ситуация под контролем. Сообщества не были взломаны, пароли их администраторов в безопасности», - сообщила тогда пресс-служба «ВКонтакте». При этом уточнялось, что инцидент произошел из-за уязвимости, позволявшей выполнить произвольный код JavaScript.

Спустя около получаса коварная уязвимость, охватившая всю социальную сеть, была устранена.

«Уязвимость была полностью закрыта в течение 20 минут, удалять нежелательные публикации мы начали в течение первой минуты после обнаружения уязвимости.

Пользовательские данные и пароли находятся в безопасности, личные страницы и сообщества не были взломаны.

Мы оперативно проведем продуктовые обновления, чтобы предотвратить такие ситуации в будущем. Мы приносим извинения пользователям, столкнувшимся с возможными неудобствами из-за данного инцидента, и благодарим всех, кто поддержал нас», - рассказали «Газете.Ru» в пресс-службе компании.

Как выяснилось позднее, организаторами взлома стали не абстрактные хакеры, а конкретная группировка, которая год назад выявила уязвимость соцсети и сообщила о ней ее сотрудникам, а те не отблагодарили ее за помощь.

Своеобразный «анонс» взлома появился на странице группировки «ВКонтакте» за десять часов до начала атаки. После этого хакеры опубликовали запись, в которой пытаются объяснить свои мотивы.

«Для тех, кому интересно, что произошло. В статью был встроен скрипт, который постил ссылку во все администрируемые группы и на личную страницу пользователя. Пока пользователь читал текст, он выполнялся, при этом личные данные никуда не утекали. Кстати, комментарии к записям были составлены из отзывов к программе ВКонтакте в Google Play и AppStore, а сама статья из кликбейтных новостей с сайта AKKet (это локальный мем, многие могут не знать, что это за сайт)», - пишут инициаторы взлома.

По их словам, они воспользовались уязвимостью, о которой стало известно еще год назад.

«Тогда сотрудники «ВКонтакте» кинули и не выплатили баунти [вознаграждение - «Газета.Ru»], в итоге было решено ее использовать, но не нанося вред пользователям. Тогда, после устранения уязвимости, было найдено множество обходов, но даже спасибо мы за них не получили», - жалуются хакеры.

«В итоге остался последний обход, который мы берегли целый год. Сегодня за несколько часов был написан код. Чтобы посты было сложнее сносить антиспамом и записи продержались хотя бы полчаса, заголовок и комментарий подбирались рандомно. Что ж, шалость удалась. К сожалению, основную группу забанили, но надеемся, что у сотрудников еще осталось чувство юмора и ее разбанят. Так как уязвимость принадлежала пользователю, который больше не занимается их поиском, это было в последний раз», - говорится в публикации.

На момент публикации заметки основная группа хакеров остается заблокированной «в связи с возможным нарушением правил сайта».