Уязвимость во «ВКонтакте» позволила хакерам опубликовать в сотнях сообществ, включая официальную группу самой соцсети, ссылку на один и тот же пост. В публикации говорилось о появлении в личных сообщениях рекламы.
Пример поста со спамом
Для распространения спама злоумышленники использовали XSS-уязвимость, позволившую внедрить в вики-страницу JS-скрипт. При посещении такой страницы ссылка на неё автоматически публиковалась в профиле пользователя и сообществах, которые он администрировал.
К настоящему моменту администрации «ВКонтакте» уже закрыла «дыру» в системе безопасности и удалила весь спам. Ответственность за взлом взяли на себя члены сообщества «Багосы», обвинившие социальную сеть в невыплате вознаграждения за обнаруженный баг.
Спасибо!
В ближайшее время мы опубликуем информацию.
