«ВКонтакте» взломали через личные сообщения

Вечером 14 февраля юзеры «ВКонтакте» начали получать личные сообщения, в которых была указана ссылка. После перехода по ней на всех страницах, которыми управляет пользователь, появлялись одинаковые записи.

В записи, размещенной хакерами от имени пользователя, говорилось, что якобы во «ВКонтакте» появилась реклама в личных сообщениях. Все записи сопровождались сообщениями с орфографическими ошибками.

Куратор направления информационной безопасности школы HackerU Алексей Гришин объяснил, каким образом произошел массовый взлом соцсети, и как хакерам удалось публиковать посты от имен пользователе:

«У “ВКонтакте” есть специальный раздел для статей. И там не проверяется возможность интеграции в текст страницы JS скриптов.

Злоумышленник написал вредоносный скрипт, который исполнялся на стороне пользователя. И от его имени публиковал аналогичный вирусный контент.

Таким образом получился вирус для социальной сети, базирующийся на уязвимости Stored XSS. Задача скрипта, как любого вируса, распространяться — так он и сделал.

Почему скрипт мог действовать от имени пользователя? Когда скрипт выполняется в браузере пользователя, то ему доступны данные браузера. А в своих данных браузер хранит токен, то есть ключ для подключения к функции “ВКонтакте”. Используя токен можно совершать запросы так, как будто их сделал пользователь страницы.

В первую очередь инфицировались группы, так так был достигнут массовый охват».

На данный момент, пресс-служба «ВКонтакте» сообщила, что уязвимость уже устранена.