Вконтакте подвергся массовому взлому

Сегодня на тысячах страниц вконтакте появились странные посты. Вредоносный скрипт, эксплуатирующий XSS уязвимость (https://github.com/rzhaka/prikol/blob/master/yrap.js), автоматически размещал следующую публикацию на страницах, администрируемых жертвой:

Ссылка в новости ведет на пост в группе «Команды ВКонтакте».

Скорее всего обнаруженная уязвимость могла привести к более серьезным последствиям, в том числе и кражам учетных записей, учитывая факт того, что в соцсети не настроена базовая политика Content Security Policy.

Представители «ВКонтакте» рассказали, что держат ситуацию под контролем, а нежелательные публикации начали удалять в течение первой минуты после обнаружения уязвимости.