Вконтакте подвергся массовому взлому

Вконтакте подвергся массовому взлому

Обнаруженная XSS уязвимость позволяла выполнить произвольный js код на страницах социальной сети.

Сегодня на тысячах страниц вконтакте появились странные посты. Вредоносный скрипт, эксплуатирующий XSS уязвимость ( https://github.com/rzhaka/prikol/blob/master/yrap.js ), автоматически размещал следующую публикацию на страницах, администрируемых жертвой:



Ссылка в новости ведет на пост в группе «Команды ВКонтакте».

Скорее всего обнаруженная уязвимость могла привести к более серьезным последствиям, в том числе и кражам учетных записей, учитывая факт того, что в соцсети не настроена базовая политика Content Security Policy.

Представители «ВКонтакте» рассказали, что держат ситуацию под контролем, а нежелательные публикации начали удалять в течение первой минуты после обнаружения уязвимости.

Если вам нравится играть в опасную игру, присоединитесь к нам - мы научим вас правилам!

Подписаться