______________________________________________________________________________________________________________

HackFix.ru - информационный портал,рассказывающий о событиях в области защиты информации,
взломах,инструментах аудита,программировании для пентестеров!

Баг «ВКонтакте»: все публикуют одну и ту же запись

В функционале социальной сети Вконтакте  обнаружен и успешно эксплуатировался опасный баг — хранимая XSS с функционалом сетевого червя.

В данный момент уязвимость устранена.

Сообщества и пользователи ВКонтакте вечером 14 февраля начали публиковать одну и ту же запись. В записи говорится о том, что в личных сообщениях в соцсети появилась реклама.

В настоящее время администрация «ВКонтакте» сообщает, что ситуация взята под контроль, а пострадавшие аккаунты не были взломаны, и пароли их администраторов в безопасности. В пресс-службе социальной сети сообщили, что инцидент произошел из-за уязвимости, позволявшей выполнить произвольный код JavaScript, и сейчас баг спешно исправляют (похоже, речь об XSS-баге). Также администрация напомнила, что люди, нашедшие уязвимость,  могли бы заработать деньги с помощью bug bounty программы HackerOne.

Используемый javascript код можно найти по ссылке.

 

Судя по всему, волна публикаций берет начало из сообщества «Багосы» (теперь заблокированного), где своеобразный анонс уязвимости появился заранее.

Сейчас представители сообщества утверждают, что нашли эту уязвимость еще в прошлом году. «Тогда, после устранения уязвимости, было найдено множество обходов, но даже спасибо мы за них не получили. В итоге остался последний обход, который мы берегли целый год», — гласит сообщение. Так как багхантерам, по их словам, не выплатили вознаграждение за баг, было решено использовать проблему, не нанося вреда пользователям.

UPD.

В пресс-службе «ВКонтакте» уточняют:

«Уязвимость была полностью закрыта в течение 20 минут, удалять нежелательные публикации мы начали в течение первой минуты после обнаружения уязвимости. Пользовательские данные и пароли находятся в безопасности, личные страницы и сообщества не были взломаны.

Мы оперативно проведём продуктовые обновления, чтобы предотвратить такие ситуации в будущем.

Мы приносим извинения пользователям, столкнувшимся с возможными неудобствами из-за данного инцидента, и благодарим всех, кто поддержал нас».

 

источник

Добавить комментарий

Ваш e-mail не будет опубликован.

______________________________________________________________________________________________________________
^ Наверх