2 июля 2025

eur = 92.27 -0.01 (-0.01 %)

btc = 106 246.00$ -1 120.31 (-1.04 %)

eth = 2 430.53$ -36.58 (-1.48 %)

ton = 2.79$ -0.15 (-5.24 %)

usd = 78.53 0.06 (0.08 %)

eur = 92.27 -0.01 (-0.01 %)

btc = 106 246.00$ -1 120.31 (-1.04 %)

Какая причина якобы «взлома» сообществ и профилей ВКонтакте?

3 минуты на чтение
Какая причина якобы «взлома» сообществ и профилей ВКонтакте?

Примерно в 19:40 по Московскому времени 14 февраля в более 3500 сообществах ВКонтакте появились однотипные публикации со ссылкой на статью ресурса Liveinternet, в которой рассказывается о фальшивой новости про появление рекламы в личных сообщениях соцсети.

Какая причина якобы «взлома» сообществ и профилей ВКонтакте?

Предыстория

«Код Дурова» проверил работоспособность бага и выявил, что когда администратор какого-либо сообщества нажимает на ссылку, она же появляется в группе под его управлением. В таком случае текст в новой публикации и заголовок ссылки постоянно меняются.

Сама ссылка ведёт на вики-страницу в официальном сообществе «Команда ВКонтакте», в котором продублирована публикация из LiveInternet: тут же присутствуют ссылки, ведущие на разные картинки, уже хранящиеся на серверах социальной сети ВКонтакте.

В чём суть бага?

Это типичная XSS-атака. Публикация из LiveInternet импортируется в соцсеть, генерируя AMP-превью. Воспользовавшись существующей уязвимостью, внедряется некий скрипт, который, в свою очередь вызывает метод, доступный в VK API. С помощью уязвимости производится репост при клике на ссылку.

ВКонтакте уверяют, что сейчас «ситуация находится под контролем», добавляя, что сообщества, которые попали под волну распространения публикаций, не были взломаны, а пароли аккаунтов администраторов находятся в безопасности. ВКонтакте напомнили, что за найденную уязвимость хакеры могли заработать деньги с помощью программы HackerOne.

Это не новинка для ВКонтакте

Ряд СМИ, в том числе Lenta.ru, News.ru, Рамблер, TJournal, осветили событие с публикацией фальшивых новостей про появление рекламы в личных сообщениях соцсети в ракурсе взлома ВКонтакте, проигнорировав факт схожей ситуации, которая произошла в декабре 2017 года — тогда ряд сообществ и профилей опубликовали пост со ссылкой на поддельную страницу издания «Медуза» об «убитом Алексее Навальном».

Какая причина якобы «взлома» сообществ и профилей ВКонтакте?
На текущий момент редакция Никиты Лихачёва отредактировала свои публикации.

Заявление сообщества «БАГОСИ»

Сообщество «БАГОСИ» в момент происходящего события было заблокировано. Именно в нём было опубликована запись, рассказывающая о существующем баге. В новом сообществе администрация «БАГОСИ» объяснила, что «уязвимость использовалась та же, что и год назад», подчеркнув, что деньги за найденную год назад уязвимость они не получили — также, как и за методы обходов закрытой «дыры».

Какая причина якобы «взлома» сообществ и профилей ВКонтакте?

Последний обход «БАГОСИ» оставила на 14 февраля 2019 года, пообещав, что подобные методы использовать во вред не будут:

Для тех, кому интересно, что произошло. В статью был встроен скрипт, который постил ссылку во все администрируемые группы и на личную страницу пользователя. Пока пользователь читал текст, он выполнялся, при этом личные данные никуда не утекали. Кстати, комментарии к записям были составлены из отзывов к программе ВКонтакте в Google Play и AppStore, а сама статья из кликбейтных новостей с сайта AKKet (это локальный мем, многие могут не знать, что это за сайт). Уязвимость использовалась та же, что и год назад (Демократия), тогда сотрудники ВКонтакте кинули и не выплатили баунти, в итоге было решено её использовать, но не нанося вред пользователям. Тогда, после устранения уязвимости, было найдено множество обходов, но даже спасибо мы за них не получили. В итоге остался последний обход, который мы берегли целый год. Сегодня за несколько часов был написан код. Чтобы посты было сложнее сносить антиспамом и записи продержались хотя бы полчаса, заголовок и комментарий подбирались рандомно. Что ж, шалость удалась. К сожалению, основную группу забанили, но надеемся, что у сотрудников еще осталось чувство юмора и её разбанят. Так как уязвимость принадлежала пользователю, который больше не занимается их поиском, это было в последний раз.

Читать первым в Telegram-канале «Код Дурова»

Важные новости коротко — от GigaChat Max 
1-bg-изображение-0
img-content-1-изображение-0

GigaChat Max: коротко о главном

Как изменился Код Дурова вместе с GigaChat Max?

Узнай о всех возможностях в FAQ-статье 
3c7d6377-b10c-4788-a921-10d9211dfa22-изображение-0b668375d-3a3c-42c5-bbc6-7a5592f985b7-изображение-13dfa1385-445f-46bd-a3d9-c218552b40b1-изображение-2

GigaChat Max: коротко о главном

Представлен Nothing Phone (3)

Полная версия 
5dfd3a76-d233-4094-bf76-fa35ef6a9c15-изображение-0a9bd9a44-6752-453b-be8c-d21d9452d365-изображение-1797acc6a-5056-4545-9ab5-26ecdbadd2bd-изображение-2

GigaChat Max: коротко о главном

Nothing представила свои первые полноразмерные наушники Headphone (1)

Полная версия 

Реализовано через GigaChat Max 

Сейчас читают
Карьера
Блоги 367
Т-Банк
X5 Tech
Газпромбанк
билайн
Сбер
МТС
Яндекс Практикум
Ozon Tech
Циан
Банк 131

Пользуясь сайтом, вы соглашаетесь с политикой конфиденциальности
и тем, что мы используем cookie-файлы