Примерно в 19:40 по Московскому времени 14 февраля в более 3500 сообществах ВКонтакте появились однотипные публикации со ссылкой на статью ресурса Liveinternet, в которой рассказывается о фальшивой новости про появление рекламы в личных сообщениях соцсети.
Предыстория
«Код Дурова» проверил работоспособность бага и выявил, что когда администратор какого-либо сообщества нажимает на ссылку, она же появляется в группе под его управлением. В таком случае текст в новой публикации и заголовок ссылки постоянно меняются.
Сама ссылка ведёт на вики-страницу в официальном сообществе «Команда ВКонтакте», в котором продублирована публикация из LiveInternet: тут же присутствуют ссылки, ведущие на разные картинки, уже хранящиеся на серверах социальной сети ВКонтакте.
В чём суть бага?
Это типичная XSS-атака. Публикация из LiveInternet импортируется в соцсеть, генерируя AMP-превью. Воспользовавшись существующей уязвимостью, внедряется некий скрипт, который, в свою очередь вызывает метод, доступный в VK API. С помощью уязвимости производится репост при клике на ссылку.
ВКонтакте уверяют, что сейчас «ситуация находится под контролем», добавляя, что сообщества, которые попали под волну распространения публикаций, не были взломаны, а пароли аккаунтов администраторов находятся в безопасности. ВКонтакте напомнили, что за найденную уязвимость хакеры могли заработать деньги с помощью программы HackerOne.
Это не новинка для ВКонтакте
Ряд СМИ, в том числе Lenta.ru, News.ru, Рамблер, TJournal, осветили событие с публикацией фальшивых новостей про появление рекламы в личных сообщениях соцсети в ракурсе взлома ВКонтакте, проигнорировав факт схожей ситуации, которая произошла в декабре 2017 года — тогда ряд сообществ и профилей опубликовали пост со ссылкой на поддельную страницу издания «Медуза» об «убитом Алексее Навальном».
На текущий момент редакция Никиты Лихачёва отредактировала свои публикации.
Заявление сообщества «БАГОСИ»
Сообщество «БАГОСИ» в момент происходящего события было заблокировано. Именно в нём было опубликована запись, рассказывающая о существующем баге. В новом сообществе администрация «БАГОСИ» объяснила, что «уязвимость использовалась та же, что и год назад», подчеркнув, что деньги за найденную год назад уязвимость они не получили — также, как и за методы обходов закрытой «дыры».
Последний обход «БАГОСИ» оставила на 14 февраля 2019 года, пообещав, что подобные методы использовать во вред не будут:
Для тех, кому интересно, что произошло. В статью был встроен скрипт, который постил ссылку во все администрируемые группы и на личную страницу пользователя. Пока пользователь читал текст, он выполнялся, при этом личные данные никуда не утекали. Кстати, комментарии к записям были составлены из отзывов к программе ВКонтакте в Google Play и AppStore, а сама статья из кликбейтных новостей с сайта AKKet (это локальный мем, многие могут не знать, что это за сайт). Уязвимость использовалась та же, что и год назад (Демократия), тогда сотрудники ВКонтакте кинули и не выплатили баунти, в итоге было решено её использовать, но не нанося вред пользователям. Тогда, после устранения уязвимости, было найдено множество обходов, но даже спасибо мы за них не получили. В итоге остался последний обход, который мы берегли целый год. Сегодня за несколько часов был написан код. Чтобы посты было сложнее сносить антиспамом и записи продержались хотя бы полчаса, заголовок и комментарий подбирались рандомно. Что ж, шалость удалась. К сожалению, основную группу забанили, но надеемся, что у сотрудников еще осталось чувство юмора и её разбанят. Так как уязвимость принадлежала пользователю, который больше не занимается их поиском, это было в последний раз.
