Во «ВКонтакте» произошёл массовый сбой — профили и сообщества публикуют одну запись

[CybF]

Статья взята из https://tjournal.ru/tech/88074-vo-vkontakte-proizoshel-massovyy-sboy-profili-i-soobshchestva-publikuyut-odnu-zapis
 

На сотнях страниц появилась ссылка на пост про рекламу в личных сообщениях.

Обновлено в 20:15: Во «ВКонтакте» рассказали TJ, что работают над устранением уязвимости и подтвердили, что она связана с XSS.

Сообщества и профили во «ВКонтакте» вечером 14 февраля начали публиковать одну и ту же запись. В ней говорилось, что в личных сообщениях в соцсети появилась реклама. При переходе по ссылке открывается пост «Команды ВКонтакте» с заголовком «ВКонтакте запустили рекламу в сообщениях».

Причиной сбоя стала XSS-уязвимость в социальной сети. Злоумышленникам удалось внедрить в страницу поста JS-скрипт, который публиковал рекламную запись в профиле и сообществах пользователя.

Во «ВКонтакте» подтвердили, что уязвимость позволяла исполнять произвольный JS-код и её уже исправляют. В соцсети напомнили, что исследователи могут получить вознаграждение за найденные уязвимости через программу HackerOne.

 

Ситуация под контролем, мы начали удалять нежелательные публикации в течение первой минуты после обнаружения уязвимости.

Переход по ссылкам приводил к эффекту волны и дальнейшему распространению публикаций. Уязвимость, которая позволяла выполнять произвольный js [код], уже исправляется.

Сообщества не были взломаны, пароли аккаунтов администраторов в безопасности.

За сутки до сбоя в сообществе «Багосы», где сидят программисты и айтишники, специализирующиеся на поиске уязвимостей во «ВКонтакте», опубликовали несколько записей про новый баг. Администраторы паблика предлагали участникам собрать несколько сотен лайков, после чего они расскажут про уязвимость.

После того, как 14 февраля во «ВКонтакте» начали появляться одинаковые записи, сообщество «Багосы» заблокировали с формулировкой о подозрительной деятельности. Под одинаковыми постами пользователи писали сообщения об этом вроде «Опять эти Багосы» и «Багосы *******».

Это не первый случай использования XSS-уязвимости во «ВКонтакте» для репостов. В 2013 году пользователь Ирек Мавлиев опубликовал у себя на странице ссылку на приложение, которое автоматически размещало его пост на страницах и в сообществах пользователей. Благодаря этому ему за полчаса удалось собрать 80 тысяч репостов. Тогда уязвимость реализовали через плеер Flash.

Изменено 14 февраля, 2019 пользователем CybF

[Rescor]

Сайберсекьюрити и Ко., [14.02.19 20:22]

[ Photo ]

️Уязвимость ВКонтакте

 

Сегодняшняя новость номер один посвящена социальной сети номер два — во ВКонтакте во всю эксплуатируется серьезная уязвимость. На сотнях страниц различных организаций появились странные посты. Как выяснилось позднее, социальная сеть оказалась подвергнута XSS-уязвимости. Вредоносный скрипт разместили на одной из страниц сети, при посещении которой на страницах, администрируемых жертвой, автоматически размещалась публикация как на картинке выше. Уязвимость до сих пор не исправлена.

 

Что тут можно сказать — соц. сеть без адекватной bug bounty политики получила то, что заслужила.

 

Сам скрипт:

https://github.com/rzhaka/prikol/blob/master/yrap.js

 

Сайберсекьюрити и Ко., [14.02.19 20:41]

[ Photo ]

А это вообще полный смех и издёвка со стороны социальной сети. Либо там работают конченные имбецилы, либо троли. На вредоносной странице исполнялся (!!!) произвольный (!!!) JavaScript-код. Опубликовать пост на странице — не самое страшное, что могло произойти. С помощью этой уязвимости можно было получить прямой и неограниченный доступ к любым данным аккаунта — от личной переписки до скрытых фотографий. Никому не известно, как была (и была ли) эксплуатирована эта дыра ранее — вполне допускаю, что злоумышленники могли, например, скомпрометировать переписку сотен пользователей и долго оставаться незамеченными.

 

Сайберсекьюрити и Ко., [14.02.19 20:53]

[ Photo ]

О какой безопасности вообще можно говорить, если у ВКонтакте элементарно не настроена самая базовая политика безопасности CSP (Content Security Policy).

 

Content Security Policy устанавливает перечень доверенных ресурсов, откуда могут подгружаться различные скрипты и прочие материалы. У Facebook, например, такая политика настроена. ВКонтакте же весьма халатно отнеслась к вопросу безопасности пользователей и уже далеко не первый раз.