По социальной сети ВКонтакте массово распространилось сообщение с фейковой новостью о том, что в соц сети появится реклама в личных сообщениях. В конце была ссылка, которая приводила к распространению таких же записей. Позднее выяснилось, что социальная сеть оказалась подвергнута XSS-уязвимости. В настоящее время администрация сообщает, что баг ВКонтакте под контролем.

Баг ВКонтакте

ВКонтакте вовсю эксплуатируется серьезная уязвимость. 14 февраля на сотнях страниц различных организаций появились странные посты, содержащие недостоверную информацию. Как выяснили позднее, социальную сеть затронула XSS-уязвимость. Вредоносный скрипт разместили на одной из страниц сети. При посещении этого сообщества на странице жертвы автоматически размещалась такая же публикация.

Почему это произошло

У ВКонтакте нет адекватной bug bounty политики. Поэтому подобный инцидент был лишь делом времени и случая.

Посудите сами, разве это норма, что на вредоносной странице был произвольный JavaScript-код. Опубликованный на страницах пользователей код — далеко не самое страшное, что могло произойти. Используя эту уязвимость, хакеру не составит труда получить прямой и неограниченный доступ к любым данным аккаунта. Злоумышленники могут получить в свое распоряжение все. От личной переписки до скрытых фотографий.

«О какой безопасности вообще можно говорить, если у ВКонтакте элементарно не настроена самая базовая политика безопасности CSP (Content Security Policy)?

 

Content Security Policy устанавливает перечень доверенных ресурсов, откуда могут подгружаться различные скрипты и прочие материалы. У Facebook, например, такая политика настроена. ВКонтакте же весьма халатно отнеслась к вопросу безопасности пользователей. И уже далеко не первый раз», — пишет телеграмм канал «Сайберсекьюрити и Ко».

Когда устранят уязвимость

На сегодняшний день администрация сообщает, что держат ситуацию с баг ВКонтакте под контролем. Также они уточнили, что пострадавшие аккаунты не взломали, и пароли их администраторов в безопасности.

Представители социальной сети подтвердили, что инцидент произошел из-за уязвимости, позволяющей выполнить произвольный код JavaScript. И сейчас баг спешно исправляют (речь об XSS).

По предварительным данным, публикация берет начало в сообществе «Багосы», где своеобразный анонс уязвимости появился заранее. Однако представители сообщества утверждают, что нашли эту уязвимость еще в прошлом году.

«Тогда после устранения уязвимости было найдено множество обходов, но даже спасибо мы за них не получили. В итоге, остался последний обход. Который мы берегли целый год», — гласит сообщение.

По словам багхантеров, им не выплатили вознаграждение за баг. Поэтому они решили использовать проблему, не нанося вреда пользователям.

В пресс-службе ВКонтакте уточняют

«Уязвимость закрыли в течение 20 минут. Удалять нежелательные публикации мы начали в течение первой минуты после обнаружения уязвимости. Пользовательские данные и пароли находятся в безопасности, личные страницы и сообщества не взломаны. Мы оперативно проведём продуктовые обновления, чтобы предотвратить такие ситуации в будущем.

 

Мы приносим извинения пользователям, столкнувшимся с возможными неудобствами из-за данного инцидента. И благодарим всех, кто поддержал нас».

Фото: Vk.com