«ВКонтакте» взломали.

Во «ВКонтакте» произошел массовый взлом профилей и сообществ — во всех из них постится одна и та же запись с критикой несуществующего нововведения социальной сети. В записи говорится о том, что в личных сообщениях VK появилась реклама, а источником информации выступил распространитель фейковых новостей AKKet.

Коллеги из TJ сообщают, что причина загадочного появления постов может заключаться в уязвимости в XSS-защите социальной сети. При переходе по ссылке, рекламная запись публикуется во все профили и сообщества, которыми управляет пользователь.

Пример появляющихся записей

Днем 14 февраля в популярном сообществе «БАГОСЫ», участники и администраторы которого занимаются поиском уязвимостей в «ВК», опубликовали несколько записей про новый баг: рассказать о нем пообещали после сбора нескольких сотен лайков на соответствующих публикациях.

После того, как в профилях и сообществах «ВКонтакте» начали появляться одинаковые записи, паблик «Багосы» заблокировали «в связи с возможным нарушением правил сайта», а под появлявшимися везде постами пользователи писали сообщения «Опять эти Багосы».

Обновлено в 20:30:

Во «ВКонтакте» подтвердили, что уязвимость позволяла исполнять произвольный JS-код. Проблему уже исправляют:

«Ситуация под контролем, мы начали удалять нежелательные публикации в течение первой минуты после обнаружения уязвимости.Переход по ссылкам приводил к эффекту волны и дальнейшему распространению публикаций. Уязвимость, которая позволяла выполнять произвольный js [код], уже исправляется», — пресс-служба «ВКонтакте».