Във руската социална мрежа ВКонтакте бе открит и успешно използван опасен бъг – XSS (Cross-Site Scripting) скрипт с функционалността на мрежови червей. Днес уязвимостта е вече отстранена.

Общностите и потребителите на ВКонтакте, на 14-ти февруари вечерта започнаха да публикуват един и същи пост. В него се казва, че в личните съобщения на социалната мрежа са се появили реклами.

Двадесет и четири часа преди хакването, същата уязвимост е обсъждана от общността Багоси, участниците в която търсят и намирани различни уязвимости в сайта и приложения на ВКонтакте, но не ги съобщават на администрацията на социалната мрежа и разработчиците, а нагледно демонстрират на потребителите как могат да ги използват. След атаката, общността бе блокирана, но веднага се появиха нейни клонинги.

При получаването на вредоносния скрипт, той веднага се транслира във всички лични диалози и общност на атакувания, като по този начин увеличава пандемията.

Използваният JavaScript код включва няколко съобщения, които по случаен начин се прикрепят към личните диалози на потребителите.

„Багоси“-те са ентусиасти, които считат, че в социалната мрежа ВКонтакте има ужасно много бъгове и уязвимости, на които разработчиците не отделят необходимото внимание по отношение на информационната безопасност. Ето защо, хакерите използват по този начин откритите от тях уязвимости – за да привлекат към тях максимално внимание, без да навредят особено много на общностите и потребителите. Според тях, без подобни публични пробиви, уязвимостите в социалната мрежа биха останали незабелязани и неоправени.

Този инцидент показа, че всеки един потребител на ВКонтакте по всяко време е можел да изпълнява в социалната мрежа JavaScript код. Публикуването на пост в чужда страница е най-безобидното, което може да се направи в този случай. Достатъчно е вредоносният скрипт да бъде малко по-различен и чрез него всеки потребител на ВКонтакте да получи скрит и неограничен достъп до данните на произволен акаунт, да чете чуждата кореспонденция, да слуша гласовите съобщения, да изпраща спам в частните закрити чатове, да си записва скритите снимки и т.н. Няма и никаква гаранция, че това не се е извършвало преди „Багоси“-те да покажат уязвимостта. Най-малкото, по-кадърните хакери са можели да изтеглят кореспонденцията на по-известните хора и да я продават в даркнет.

Telegram каналът „Сайберсекьюрити и Ко.“ отбеляза, че социалната мрежа ВКонтакте пренебрегва елементарните правила за информационна безопасност. Дори не е настроена политиката за безопасност на съдържанието, която да дава определени права за надеждните ресурси, откъдето биха могли да идват скриптове и други подобни. При Facebook например, тази политика е добре настроена и там са невъзможни пробиви с използването на код, вграден в изображенията, както стана сега във ВКонтакте.

Днес пресслужбата на ВКонтакте съобщи, че уязвимостта е била оправена само за 20 минути, и се извини.