Хакеры организовали кампанию, чтобы отомстить администрации соцсети за отказ в вознаграждении.
Пользователи «ВКонтакте» столкнулись со спамерской атакой, построенной на не известной ранее уязвимости. По имеющимся сведениям, организаторы кампании пытались отомстить администрации соцсети за отказ платить по программе bug bounty.
Вечером 14 февраля по «ВКонтакте» распространилась публикация, гласящая, что в личных сообщениях якобы появится реклама. Размещаемые посты были оформлены в виде предпросмотра статьи — большая иллюстрация, заголовок и ссылка на страницу верифицированного сообщества «Команда ВКонтакте».
Если пользователь переходил по ссылке, пост автоматически копировался в его профиль и администрируемые им паблики. Это происходило без каких-либо уведомлений — о размещении записи жертвы узнавали из собственных лент. Если пользователь ранее запретил публикации на своей стене, атака не срабатывала.
Представители соцсети рассказали журналистам, что проблему вызвала некая брешь, позволявшая выполнять произвольный код. После того, как специалисты определили источник угрозы, они в течение получаса остановили волну спама.
По мнению экспертов, речь идет об XSS-уязвимости (cross-site scripting, межсайтовый скриптинг), благодаря которой организаторы атаки смогли встроить в ссылку вредоносный скрипт. Взломщики узнали, что движок «ВКонтакте» недостаточно тщательно проверял содержимое iframe-объектов, и добавили Javascript-код в один из параметров.
При желании злоумышленники могли использовать дыру, чтобы украсть данные аккаунтов или встроить в сайт вредоносное ПО. Эксплуатировать уязвимость можно абсолютно незаметно, поэтому сейчас трудно определить, применялась ли она в реальных кибератаках.
Информация о баге появилась накануне атаки в паблике «Багосы». Вскоре после первых публикаций вирусной статьи администрация заблокировала группу за «подозрительную деятельность». В пятницу 15 февраля взломщики опубликовали пост в зеркальном сообществе, взяли на себя ответственность за кампанию и заверили пользователей, что их данные не подвергались опасности. Также багхантеры утверждают, что год назад уже эксплуатировали эту уязвимость.
По словам взломщиков, они хотели отомстить «ВКонтакте» за отказ в оплате найденной бреши. Обращение завершается объявлением о прекращении багхангтинговой деятельности, а также призывом к администрации соцсети проявить чувство юмора и разблокировать основное сообщество хакеров. Охват кампании они оценили в 140 тыс. пользователей.
Представители интернет-сервиса опровергли заявление взломщиков. По их словам, виновники ранее успешно сотрудничали с соцсетью, однако в нынешних атаках использовали новую брешь. При этом, как утверждают в администрации соцсети, закрыть дыру удалось за 20 минут.
Несмотря на то, что все затронутые стороны подчеркивают безвредность атаки для пользователей, эксперты сходятся в мнении, что она дискредитировала «ВКонтакте», показав низкий уровень безопасности контента соцсети.
«О какой безопасности вообще можно говорить, если у «ВКонтакте» элементарно не настроена самая базовая политика безопасности CSP (Content Security Policy). Content Security Policy устанавливает перечень доверенных ресурсов, откуда могут подгружаться различные скрипты и прочие материалы. У Facebook, например, такая политика настроена», – отметил специалист по интернет-безопасности Александр Литреев.
В конце 2018 года пользователь «ВКонтакте» нашел способ публиковать в сообществах видео без разрешения их администрации. Уязвимость содержалась в функции «Предложить новость».
Еще раньше соцсеть столкнулась с утечкой пользовательских сообщений, которую спровоцировало некое стороннее приложение. По словам представителей «ВКонтакте», проблема затронула несколько сотен человек, которые сами предоставили программе доступ к своей информации.