VK якобы зажала гонорар искателям багов и спустя год была наказана.

14 февраля 2019 года запомнится в том числе как день, когда «ВКонтакте» немного сошла с ума. Паблики и профили пользователей массово публиковали один и тот же пост о введении рекламы в сообщениях VK. Оказалось, что к поломке соцсети причастны обидевшиеся программисты и (отчасти) популярное помоечное медиа Akket.

С чего все началось?

В сообществах «ВКонтакте» стала появляться одинаковая запись со ссылкой на пост, в котором говорилось, что в личных сообщениях в соцсети добавили рекламу. Пост сперва вел в сообщество «Команды ВКонтакте», а потом переводил на страницу в LiveInternet. Создатели записи ссылались на сайт AKKet, которому о нововведении якобы рассказал представитель соцсети.

За несколько минут вирусный пост появился в огромном количестве сообществ соцсети, в том числе, верифицированных и принадлежащих «ВКонтакте». VK отреагировала оперативно и прикрыла лавочку.

Как это работает?

По данным TJ, хакеры воспользовались уязвимостью – при заходе на страницу активировался javascript-код и запускал рассылку. Если пользователь нажимал на фейковый пост про рекламу в VK, скрипт от его имени размещал эту запись на всех страницах, которыми он управляет. Таким образом пост завирусился во многих сообществах.


«ВКонтакте» подтвердила, что уязвимость позволяла исполнять произвольный JS-код, проблему уже исправляют. «Переход по ссылкам приводил к эффекту волны и дальнейшему распространению публикаций», – заметили в пресс-службе компании.

Кто виноват?

Пользователи соцсети заметили, что за сутки до сбоя в популярном среди программистов сообществе «Багосы» появилась интригующая запись. Автор просил накинуть лайков и в обмен на сердечки обещал рассказать про новую уязвимость в VK. После запуска волны одинаковых постов администрация «ВКонтакте» заблокировала «Багосы» с формулировкой «в связи с возможным нарушением правил сайта».

В 21:02 в резервном сообществе «Багосы» появился пост, в котором энтузиасты взяли на себя ответственность за поломку соцсети. Автор мотивировал запуск вирусного поста о рекламе местью за то, что «ВКонтакте» зажимает разработчикам выплату гонорара за найденный баг. По словам анонима, он с командой единомышленников нашел уязвимость год назад, сообщил об этом соцсети, но не получил за это ни рубля. Соцсеть якобы даже не поблагодарила программистов.

Тогда, после устранения уязвимости, было найдено множество обходов, но даже спасибо мы за них не получили. В итоге остался последний обход, который мы берегли целый год. Сегодня за несколько часов был написан код. Чтобы посты было сложнее сносить антиспамом и записи продержались хотя бы полчаса, заголовок и комментарий подбирались рандомно. Что ж, шалость удалась.

«Багосы».

В последнем сообщении из паблика «Команда ВКонтакте» говорится, что соцсеть приняла меры и заблокировала уязвимость.



Главное
Андрей Ставицкий
25 Фев '21
3886
Читать
Xiaomi Mi 10T мощно скинул в цене. C промокодом девайс выйдет еще дешевле
Такой низкой цены мы еще не видели.
Андрей Ставицкий
24 Фев '21
4873
Читать
Крутые часы для туристов продают со скидкой. А еще за покупку Honor Watch GS Pro отсыпят бонусов
Они стоили неприлично дорого, но теперь подешевели.
Андрей Ставицкий
24 Фев '21
4038
Читать
Samsung Galaxy S20 Ultra подешевел до исторической отметки. Дают не только скидку, но и кучу полезных бонусов
«М.Видео» просто раздает деньги.
Андрей Ставицкий
23 Фев '21
2767
Читать
iPhone XR все еще очень хорош. А теперь бестселлер стоит 40 тысяч рублей
В студии — самый сбалансированный айфон в истории.
Андрей Ставицкий
23 Фев '21
3423
Читать
За четыре месяца iPhone 12 Pro сильно подешевел. На сумму скидки можно купить приличный девайс от Xiaomi
Вот это сейл!
Шамиль Газибегов
23 Фев '21
9316
Читать
Берем хитовый телевизор Xiaomi на 55 дюймов по лучшей цене в истории. Вариант с 4K и Smart TV
Подсказываем, как максимально сэкономить.
Комментарии