14 февраля тысячи сообществ «ВКонтакте» опубликовали ссылку на одну и ту же фейковую новость о том, что личных сообщениях появилась реклама. К этому «взлому» причастно сообщество «Багосы», администраторы которого находят различные уязвимости на сайте и в приложениях «ВКонтакте», но не рассказывают о них администрации соцсети или разработчикам, а наглядно демонстрируют подписчикам, как их можно использовать.
Схема публикации спама довольно запутанная. Текст и заголовок постоянно менялись (вероятно, чтобы разработчикам «ВКонтакте» было сложнее остановить их распространение), а ссылка вела на вики-страницу в верифицированном сообществе «Команда ВКонтакте», в которую скопирована публикация из блога на сайте LiveInternet. В исходную статью вставлено несколько изображений, которые находятся на серверах «ВКонтакте» и содержат вредоносный код.
После того, как какой-нибудь пользователь переходил по ссылке, от его имени исполнялся JavaScript-код, и во всех сообществах, которые он администрирует, а также на его странице появлялась ссылка на фейковую новость. Её видели другие люди, переходили по ссылке — и таким образом в течение нескольких минут спам распространился по тысячам пабликов, включая самые популярные.
Подобная ситуация произошла в декабре 2017 года, когда официальные сообщества «ВКонтакте» и другие страницы опубликовали статью поддельного паблика «Медузы» о якобы убитом политике Алексее Навальном.
Из паблика «Багоси»:
Для тех, кому интересно, что произошло. В статью был встроен скрипт, который постил ссылку во все администрируемые группы и на личную страницу пользователя. Пока пользователь читал текст, он выполнялся, при этом личные данные никуда не утекали. Кстати, комментарии к записям были составлены из отзывов к программе ВКонтакте в Google Play и AppStore, а сама статья из кликбейтных новостей с сайта AKKet (это локальный мем, многие могут не знать, что это за сайт). Уязвимость использовалась та же, что и год назад (Демократия), тогда сотрудники ВКонтакте кинули и не выплатили баунти, в итоге было решено её использовать, но не нанося вред пользователям. Тогда, после устранения уязвимости, было найдено множество обходов, но даже спасибо мы за них не получили. В итоге остался последний обход, который мы берегли целый год. Сегодня за несколько часов был написан код. Чтобы посты было сложнее сносить антиспамом и записи продержались хотя бы полчаса, заголовок и комментарий подбирались рандомно. Что ж, шалость удалась. К сожалению, основную группу забанили, но надеемся, что у сотрудников еще осталось чувство юмора и её разбанят. Так как уязвимость принадлежала пользователю, который больше не занимается их поиском, это было в последний раз.
«Багосы» — энтузиасты, которые считают, что во «ВКонтакте» очень много багов и уязвимостей, а разработчики не уделяют должного внимания вопросам безопасности. Именно поэтому хакеры хотя и эксплуатируют найденные уязвимости именно таким образом — чтобы привлечь к ним максимум внимания и не сильно навредить сообществам и пользователям. Без таких публичных «взломов» уязвимости соцсети оставались бы незамеченными.
Сегодняшний инцидент показал, что любой пользователь всё это время мог исполнять в соцсети любой JavaScript-код. Публикация поста на чужой странице — самое безобидное, что можно сделать в таком случае. Если бы вредоносный код был другим, кто угодно мог бы получить скрытый и неограниченный доступ к данным любых аккаунтов и читать чужую переписку, прослушивать голосовые сообщения, рассылать спам в приватных чатах, собирать скрытые фотографии. Нет никакой гарантии того, что это не происходило до того, как «Багосы» массово запустили фейковый спам в крупнейших пабликах. Хакеры вполне могли скачать из «ВКонтакте» переписку всех пользователей (или хотя бы известных людей) и выставить эти данные на продажу в даркнете.
Как отмечает telegram-канал «Сайберсекьюрити и Ко.», соцсеть «ВКонтакте» пренебрегает элементарными правилами безопасности. Например, у неё не настроена политика безопасности контента, которая устанавливает перечень доверенных ресурсов, откуда могут подгружаться скрипты и прочие материалы. У Facebook эта политика настроена, поэтому там невозможны взломы и атаки с использованием кода, встроенного в картинки.
Комментарий пресс-службы ВКонтакте:
«Уязвимость была полностью закрыта в течение 20 минут, удалять нежелательные публикации мы начали в течение первой минуты после обнаружения уязвимости. Пользовательские данные и пароли находятся в безопасности, личные страницы и сообщества не были взломаны.
Мы оперативно проведём продуктовые обновления, чтобы предотвратить такие ситуации в будущем.
Мы приносим извинения пользователям, столкнувшимся с возможными неудобствами из-за данного инцидента, и благодарим всех, кто поддержал нас».
iGuides в Telegram — t.me/iguides_ru
iGuides в Яндекс.Дзен — zen.yandex.ru/iguides.ru
материал сайта www.iguides.ru
