В день всех влюбленных сообщества Вконтакте стали публиковать одну и ту же странную запись. В ней сообщалось, что в соц-сети запускают рекламу в личных сообщениях. Заявление было серьезное, и поэтому пользователи без промедления кликали на статью. Никакой информации там, конечно же, не было. «Это взлом» – гласила картинка.
Позже стало известно, что причиной повсеместного «сбоя» стали хакеры, которые таким образом указали руководству «Вконтакте» на существующую уязвимость системы.
Участники сообщества «Багосы», которое профессионально занимается поиском программных ошибок в социальной сети, сообщили, что им не заплатили положенные деньги за работу. За это и было наказано руководство «Вконтакте» 14 февраля 2019 года.
«Для тех, кому интересно, что произошло. В статью был встроен скрипт, который постил ссылку во все администрируемые группы и на личную страницу пользователя. Пока пользователь читал текст, он выполнялся, при этом личные данные никуда не утекали. Кстати, комментарии к записям были составлены из отзывов к программе ВКонтакте в Google Play и AppStore, а сама статья из кликбейтных новостей с сайта AKKet (это локальный мем, многие могут не знать, что это за сайт).
Уязвимость использовалась та же, что и год назад (Демократия), тогда сотрудники ВКонтакте кинули и не выплатили баунти, в итоге было решено её использовать, но не нанося вред пользователям. Тогда, после устранения уязвимости, было найдено множество обходов, но даже спасибо мы за них не получили. В итоге остался последний обход, который мы берегли целый год. Сегодня за несколько часов был написан код. Чтобы посты было сложнее сносить антиспамом и записи продержались хотя бы полчаса, заголовок и комментарий подбирались рандомно. Что ж, шалость удалась. К сожалению, основную группу забанили, но надеемся, что у сотрудников еще осталось чувство юмора и её разбанят. Так как уязвимость принадлежала пользователю, который больше не занимается их поиском, это было в последний раз».
Официальные представители «Вконтакте» сообщили, что сейчас ситуация находится под контролем, а ошибка системы устранена. Будем надеяться, что вчерашняя «шутка» стала уроком для всех.