Сегодня социальная сеть «ВКонакте» подверглась атаке, в результате чего пользователи и группы начали массово публиковать один и тот же пост. В компании сразу же отреагировали на происшествие.
По заявлениям представителей компании, злоумышленники обошли XSS-защиту и внедрили сторонний JavaScript-код, что и привело к массовой рассылке одного и того же сообщения. Суть произошедшего заключалась в запуске рекламы при нажатии на ссылку с новостью и публикации аналогичного сообщения от имени пользователей и пабликов, администраторами которых они являются.
Также во «ВКонтакте» отметили, что персональные пользовательские данные не были в опасности, а массовый взлом паролей попросту невозможен. Представители «ВКонтакте» заявили, что ситуация находится под контролем, а уязвимость, позволившая интегрировать сторонний JavaScript-код, уже исправлена:
«Уязвимость была полностью закрыта в течение 20 минут, удалять нежелательные публикации мы начали в течение первой минуты после обнаружения уязвимости. Пользовательские данные и пароли находятся в безопасности, личные страницы и сообщества не были взломаны. Мы оперативно проведём продуктовые обновления, чтобы предотвратить такие ситуации в будущем.»
Помимо этого, «ВКонтакте» напомнили всем хакерам о возможности заработать при поиске уязвимостей через официальную программу HackerOne.
