В популярной российской социальной сети «Вконтакте» злоумышленники нашли уязвимость и взломали тысячи аккаунтов, которые публикуют заранее заготовленные сообщения. Хакеры нашли в коде социальной сети «Вконтакте» особую уязвимость, которая позволила им публиковать сообщения от тысячи разных пользователей. Злоумышленники обнаружили способ запустить специальный скрипт, который со всех профилей и сообществ аккаунта публикует сообщения с одним и тем же смыслом: якобы соцсеть VK запустила рекламу в личных сообщениях.

Уязвимость запускается через специальную ссылку. Как только пользователь кликает по ней, во всех его сообществах и в его профиле появляется новая публикация. В ней автор жалуется на то, что в монетизация социальной сети дошла уже до того, что рекламу официально рассылают по личным сообщениям. В публикации прилагается ссылка на новость об этом, которая тоже запускает скрипт. Вариаций сообщений очень много. Написаны они в разных стилях, некоторые даже с ошибками, чтобы казались реальными.

Данная уязвимость предположительно была обнаружена хакерами из группы «Багосы». Они обещали раскрыть особенности бага после определенного количества собранных лайков. Сейчас сообщество заблокировано. В технической поддержке соцсети «Вконтакте» заявили, что уже знают о проблеме и решают ее. Специалисты также заверили, что хакеры через эту уязвимость не могли получить доступ к паролям и личным данным пользователей, поэтому не стоит переживать за безопасность своих страниц и сообществ.

Администрация социальной сети «Вконтакте» также напомнила, что честным пользователям платят вознаграждение за обнаруженные уязвимости. Сообщить о найденном баге можно через сервис HackeOne.