Вечером 14 февраля во ВКонтакте произошел массовый взлом.
От рук неизвестных злоумышленников пострадало множество крупных сообществ крупнейшей в России социальной сети.
Пользователи ВКонтакте стали замечать в ленте новостей сообщение о скором появлении очередного нововведения ВК – рекламы в личных сообщениях.
Запись была размещена в таких крупных сообществах как «Лентач», «Команда ВКонтакте», «ВКонтакте для бизнеса», «Яндекс» и других крупных группах. При переходе по ссылке открывалась страница, замаскированная под страницу ВК, несущая в себе вредоносный скрипт.
Причиной сбоя стала уязвимость в XSS-защите социальной сети.
«Ситуация под контролем, мы начали удалять нежелательные публикации в течение первой минуты после обнаружения уязвимости. Переход по ссылкам приводил к эффекту волны и дальнейшему распространению публикаций. Уязвимость, которая позволяла выполнять произвольный javascript-код, уже исправляется», — сообщает пресс-служба «ВКонтакте»
Скрипт размещал такую же запись, сопровождаемую безграмотным комментарием, на всех страницах, находящихся под управлением попавшегося на удочку злоумышленников пользователя. Некоторые пользователи ВК отмечают что им даже не удалось с первого раза сменить свой пароль для входа в соцсеть.
Такая же ссылка появилась и в некоторых крупных тверских пабликах. Под удар попало, к примеру, сообщество поисково-спасательного отряда «Сова» и наши коллеги из информационно-новостного портала «Weekend-Тверь».Мы настоятельно не рекомендуем переходить по подозрительным ссылкам. Если уже перешли – срочно смените пароль.
