Вчера, 14 февраля, в сообщениях ВКонтакте начала приходить ссылка, при переходе по которой во всех управляемых пользователем профилях и сообществах появлялась одна и та же запись с разными подписями. Ответственность за сбой взяла на себя группа хакеров-участников сообщества ВКонтакте БАГОСИ. По их словам, при «взломе» использовалась уязвимость, за нахождение которой ВКонтакте год назад не выплатил обещанное вознаграждение.
В посте был встроенный скрипт, который выполнялся, пока пользователь оставался на странице. Статья была собрана из кликбейтных публикаций с сайта Akket, известного своими фейковыми новостями, а комментарии – из отзывов о приложении ВКонтакте в App Store и Google Play.
Атака приписывается специалистам, которые год не получили положенные выплаты за найденную уязвимость.
Публикация появилась в официальных сообществах «ВКонтакте для бизнеса» и «Команда ВКонтакте», а также в других верифицированных сообществах соцсети.
Уязвимость была полностью закрыта в течение 20 минут, удалять нежелательные публикации мы начали в течение первой минуты после обнаружения уязвимости. Пользовательские данные и пароли находятся в безопасности, личные страницы и сообщества не были взломаны.
Мы оперативно проведём продуктовые обновления, чтобы предотвратить такие ситуации в будущем
Мы приносим извинения пользователям, столкнувшимся с возможными неудобствами из-за данного инцидента, и благодарим всех, кто поддержал нас, – прокомментировали ситуацию в пресс-службе ВКонтакте.
Напомним, на этой неделе в сети было найдено приложение SearchFace, позволяющее находить пользователей ВКонтакте по фотографии. После того, как ВКонтакте решил подать на создателей в суд, из приложения пропали ссылки на профили в соцсети.