Сообщество тестировщиков, которое отомстило соцсети за невыплату денег за поиск багов. В администрации «ВКонтакте» с этим не согласны.
14 февраля сообщества и профили во «ВКонтакте» начали публиковать одну и ту же запись — новость о том, что в соцсети появилась реклама в личных сообщениях. За несколько минут запись появилась на сотнях страниц и групп, после чего администрация закрыла уязвимость.
Как это работает
Хакеры воспользовались уязвимостью «ВКонтакте»: они создали страницу, на которой исполнялся javascript-код и активировал рассылку. Когда пользователь нажимал на один пост в своей ленте, тот отправлялся на его страницу, а также в те группы, где он указан администратором. Это подтвердили и в пресс-службе «ВКонтакте».
Переход по ссылкам приводил к эффекту волны и дальнейшему распространению публикаций. Уязвимость, которая позволяла выполнять произвольный js, уже исправляется.
пресс-служба «ВКонтакте»
Как пояснил корреспондент ИА «Два стула» Михаил Самин, хакеры вероятнее всего использовали уязвимость в XSS-защите соцсети. У редактора TJ с закрытой от публикаций стеной во «ВКонтакте» баг не сработал и пост не появился.
Согласно описанию js-кода исходного поста, опубликованному на GitHub, репозиторий называется «rzhaka», а часть страницы — «prikol». По словампрограммиста Алекса Росанно, хакеры воспользовались уязвимостью вики-страниц «ВКонтакте», куда можно вставлять сторонние ссылки, в том числе на YouTube.
В вики-страницы «ВКонтакте» можно вставлять видео с YouTube. Они вставляются как iframe (страница, открывающаяся внутри другой страницы — прим. TJ). Проблема в том, что соцсеть не проверяет параметр srcdoc, поэтому туда кое-кто засунул js, который через DOM пихает тег <script> вместе с самой ссылкой на скрипт, расположенный на сайте rzhaka.
Именно в тот iframe, который автоматом вызывается и делает автоматические посты, опять же потому, что «ВКонтакте» не проверяет, нажал ли на кнопку пользователь или бот.
Алекс Росанно, программист
Хакеры заранее прописали несколько вариантов текста, который появляется в автоматическом посте, чтобы он выбирался случайно. Ссылка была опубликована как репост фотографии из сообщества «Команды ВКонтакте», хотя на самом деле снова вела на вики-страницу и вызывала повтор уязвимости. «Так как JS-код запостили с левого сайта, хакеры легко могли вместо шутки поставить туда какой-то дроппер для трояна или майнер», — добавил Росанно.
Что находится в той записи
Автоматическая запись, которая сначала вела в сообщество «Команды ВКонтакте», потом переводила на страницу в LiveInternet. Автором записи указан пользователь «rzhaka» — как и в репозитории GitHub. Она была замаскирована под новость о том, что во «ВКонтакте» появилась реклама в личных сообщениях. Авторы ссылались на сайт AKKet, которому о нововведении якобы рассказала пресс-служба соцсети. На самом деле на сайте AKKet такой публикации нет.
Социальная сеть «ВКонтакте» проста лишь на первый взгляд, потому как при более детальном анализе становится очевидно, что это крайне сложная система, обладающая скрытыми возможностями. Администрация «ВКонтакте» постоянно работает над улучшением соцсети, делая для этого все возможное.
фрагмент записи, размещённой в сообществах во «ВКонтакте»
Однако ни одна ссылка внутри записи не вела на источник. Вместо этого по клику открывались несколько мемов: сообщение от пользователя с просьбой создать «фейк администрации вк», шутка про «хакира вконтакте», скриншот из комментариев и упоминание Сергея Кашатова — тестестировщика багов во «ВКонтакте» и программиста. В разговоре с TJ он рассказал, что не имеет отношения к рассылке.
Кто за этим стоит
Рассылку устроили хакеры из сообщества «Багосы», где сидят программисты и айтишники, специализирующиеся на поиске уязвимостей во «ВКонтакте». Накануне они предлагали участникам собрать несколько сотен лайков, после чего рассказать про уязвимость.
После того, как 14 февраля во «ВКонтакте» начали появляться одинаковые записи, сообщество «Багосы» заблокировали с формулировкой о подозрительной деятельности. Однако в зеркальной группе «Багоси» информация об этом осталась: про рекламу в личных сообщениях и рассылку постов.
Администраторы «Багосов» подтвердили, что устроили массовую рассылку, и пояснили, что личные данные пользователей не были затронуты. Они воспользовались той же уязвимостью, которая позволила в 2017 году массово разослать по сообществам во «ВКонтакте» пост о смерти Алексея Навального.
Хакеры указали, что провернули это с целью отомстить «ВКонтакте» за невыплату денег за поиск багов.
Для тех, кому интересно, что произошло. В статью был встроен скрипт, который постил ссылку во все администрируемые группы и на личную страницу пользователя. Пока пользователь читал текст, он выполнялся, при этом личные данные никуда не утекали.
Кстати, комментарии к записям были составлены из отзывов к программе ВКонтакте в Google Play и AppStore, а сама статья из кликбейтных новостей с сайта AKKet (это локальный мем, многие могут не знать, что это за сайт). Уязвимость использовалась та же, что и год назад, тогда сотрудники «ВКонтакте» кинули и не выплатили баунти, в итоге было решено её использовать, но не нанося вред пользователям. Тогда, после устранения уязвимости, было найдено множество обходов, но даже спасибо мы за них не получили. В итоге остался последний обход, который мы берегли целый год.
Сегодня за несколько часов был написан код. Чтобы посты было сложнее сносить антиспамом и записи продержались хотя бы полчаса, заголовок и комментарий подбирались рандомно. Что же, шалость удалась.
К сожалению, основную группу забанили, но надеемся, что у сотрудников еще осталось чувство юмора и её разбанят. Так как уязвимость принадлежала пользователю, который больше не занимается их поиском, это было в последний раз.
администрация «Багосов»
Как отметили TJ во «ВКонтакте», «Багосы» использовали другую уязвимость, а за предыдущие всегда получали деньги.
Оценили 8 человек
9 кармы