Ответственность за взлом социальной сети "ВКонтакте" взяла на себя хакерская группировка, которая действовала из соображений мести. Оказывается, около года назад они нашли уязвимость в коде, о которой уведомили администрацию сервиса, но так и получили своего вознаграждения.
"Шалость удалась"
Вечером 14 февраля пользователи "ВКонтакте" обнаружили, что неизвестные лица отправляют им в сообщения ссылки, при нажатии на которые во всех профилях и группах пользователя публикуется идентичная запись.
Ссылка якобы сообщала о том, что в социальной сети появится реклама в личных сообщениях."В некоторых сообществах появились нежелательные публикации: переход по ссылке приводил к распространению новых записей с ней. Ситуация под контролем. Сообщества не были взломаны, пароли их администраторов в безопасности", - сообщила тогда пресс-служба "ВКонтакте". При этом уточнялось, что инцидент произошел из-за уязвимости, позволявшей выполнить произвольный код JavaScript.
Спустя около получаса коварная уязвимость, охватившая всю социальную сеть, была устранена.
"Уязвимость была полностью закрыта в течение 20 минут, удалять нежелательные публикации мы начали в течение первой минуты после обнаружения уязвимости.
Пользовательские данные и пароли находятся в безопасности, личные страницы и сообщества не были взломаны.
Мы оперативно проведем продуктовые обновления, чтобы предотвратить такие ситуации в будущем. Мы приносим извинения пользователям, столкнувшимся с возможными неудобствами из-за данного инцидента, и благодарим всех, кто поддержал нас", - рассказали "Газете.Ru" в пресс-службе компании.
Как выяснилось позднее, организаторами взлома стали не абстрактные хакеры, а конкретная группировка, которая год назад выявила уязвимость соцсети и сообщила о ней ее сотрудникам, а те не отблагодарили ее за помощь.
Своеобразный "анонс" взлома появился на странице группировки "ВКонтакте" за десять часов до начала атаки. После этого хакеры опубликовали запись, в которой пытаются объяснить свои мотивы.
"Для тех, кому интересно, что произошло. В статью был встроен скрипт, который постил ссылку во все администрируемые группы и на личную страницу пользователя. Пока пользователь читал текст, он выполнялся, при этом личные данные никуда не утекали. Кстати, комментарии к записям были составлены из отзывов к программе ВКонтакте в Google Play и AppStore, а сама статья из кликбейтных новостей с сайта AKKet (это локальный мем, многие могут не знать, что это за сайт)", - пишут инициаторы взлома.
По их словам, они воспользовались уязвимостью, о которой стало известно еще год назад.
"Тогда сотрудники "ВКонтакте" кинули и не выплатили баунти [вознаграждение - "Газета.Ru"], в итоге было решено ее использовать, но не нанося вред пользователям. Тогда, после устранения уязвимости, было найдено множество обходов, но даже спасибо мы за них не получили", - жалуются хакеры.
"В итоге остался последний обход, который мы берегли целый год. Сегодня за несколько часов был написан код. Чтобы посты было сложнее сносить антиспамом и записи продержались хотя бы полчаса, заголовок и комментарий подбирались рандомно. Что ж, шалость удалась. К сожалению, основную группу забанили, но надеемся, что у сотрудников еще осталось чувство юмора и ее разбанят. Так как уязвимость принадлежала пользователю, который больше не занимается их поиском, это было в последний раз", - говорится в публикации.
На момент публикации заметки основная группа хакеров остается заблокированной "в связи с возможным нарушением правил сайта".
Данные под контролем
В октябре прошлого года руководство социальной сети "ВКонтакте" в специальном разделе объяснило пользователям, каким образом обрабатываются запросы чиновников и судов по размещенным данным.
В частности, в материале говорится о том, что в соответствии с российским законодательством суды и правоохранительные органы имеют право запрашивать сведения о пользователях на этапе оперативно-розыскной деятельности, на стадии предварительного расследования и в процессе судебного разбирательства.
В соцсети подчеркнули, что полиция не обязана раскрывать причину запроса, а сама компания не может предупредить о нем из-за необходимости сохранения тайны следствия.
В компании отметили, что переписка пользователей может быть предоставлена правоохранительным органам только по решению суда.
Спустя месяц "ВКонтакте" запустила возможность скачивать данные своего профиля в виде архива. В социальной сети заявили, что функция позволит пользователю получить полное и наглядное представление о том, какие данные сохраняются на серверах компании.
Свежие комментарии