«ВКонтакте» взломали через личные сообщения

Вчера хакеры взломали ВКонтакте. Юзеры соцсети получали ссылку в личные сообщения, переходя на которую на странице появлялись нежелательные сообщения.

Вечером 14 февраля юзеры «ВКонтакте» начали получать личные сообщения, в которых была указана ссылка. После перехода по ней на всех страницах, которыми управляет пользователь, появлялись одинаковые записи.

В записи, размещенной хакерами от имени пользователя, говорилось, что якобы во «ВКонтакте» появилась реклама в личных сообщениях. Все записи сопровождались сообщениями с орфографическими ошибками.

Куратор направления информационной безопасности школы HackerU Алексей Гришин объяснил, каким образом произошел массовый взлом соцсети, и как хакерам удалось публиковать посты от имен пользователе:

«У “ВКонтакте” есть специальный раздел для статей. И там не проверяется возможность интеграции в текст страницы JS скриптов.

Злоумышленник написал вредоносный скрипт, который исполнялся на стороне пользователя. И от его имени публиковал аналогичный вирусный контент.

Таким образом получился вирус для социальной сети, базирующийся на уязвимости Stored XSS. Задача скрипта, как любого вируса, распространяться — так он и сделал.

Почему скрипт мог действовать от имени пользователя? Когда скрипт выполняется в браузере пользователя, то ему доступны данные браузера. А в своих данных браузер хранит токен, то есть ключ для подключения к функции “ВКонтакте”. Используя токен можно совершать запросы так, как будто их сделал пользователь страницы.

В первую очередь инфицировались группы, так так был достигнут массовый охват».

На данный момент, пресс-служба «ВКонтакте» сообщила, что уязвимость уже устранена.

Оцените пост:
0,00 (0)
Загрузка...
15 февраля 2019
Ваш бренд требует большего!
Задействуйте возможности социальных
сетей и лидеров мнений

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Материалы на темы
Пользователи Instagram лишились подписчиков из-за сбоя работы приложения
В работе приложения Instagram обнаружен сбой в результате которого многие пользователи потеряли миллионы подписчиков.
Вконтакте теперь можно размещать рекламу в историях с СТА-кнопками
Для всех рекламодателей Вконтакте теперь доступен новый формат рекламы в историях с СТА-кнопками. Новый формат рекламы аналогичен обычным историям Вконтакте, только на них есть пометка «Реклама».
Страницы Facebook скоро смогут создавать групповые обсуждения
На это раз Facebook порадовал обновлениями держателей Страниц.
В ленте и историях Instagram появилось превью IGTV
Instagram продолжает развивать свою вертикальную видео-платформу IGTV с целью привлечь авторов видео контента из YouTube и Twitch.

А в соцсетях мы анонсируем вебинары, постим отборные статьи, шутим, дарим подарки и всячески развлекаем и образовываем. Выбирай что по душе:

🔔 Внимание! По техническим причинам выплаты временно приостановлены. Не пугайтесь, мы скоро все починим!