Масов пробив в руската социална мрежа ВКонтакте
Във съветската обществена мрежа ВКонтакте бе открит и сполучливо употребен рисков бъг – XSS (Cross-Site Scripting) скрипт с функционалността на мрежови червей. Днес уязвимостта е към този момент отстранена.
Общностите и потребителите на ВКонтакте, на 14-ти февруари вечерта започнаха да разгласяват един и същи пост. В него се споделя, че в персоналните известия на обществената мрежа са се появили реклами.
Двадесет и четири часа преди хакването, същата накърнимост е обсъждана от общността Багоси, участниците в която търсят и намирани разнообразни уязвимости в уеб страницата и приложения на ВКонтакте, само че не ги оповестяват на администрацията на обществената мрежа и разработчиците, а образно показват на потребителите по какъв начин могат да ги употребяват. След офанзивата, общността бе блокирана, само че незабавно се появиха нейни клонинги.
При приемането на вредоносния скрипт, той незабавно се транслира във всички персонални разговори и общественост на атакувания, като по този метод усилва пандемията.
Използваният JavaScript код включва няколко известия, които по инцидентен метод се прикрепят към персоналните разговори на потребителите.
„Багоси“-те са запалянковци, които смятат, че в обществената мрежа ВКонтакте има извънредно доста бъгове и уязвимости, на които разработчиците не отделят нужното внимание във връзка с осведомителната сигурност. Ето за какво, хакерите употребяват по този метод откритите от тях уязвимости – с цел да привлекат към тях оптимално внимание, без да навредят изключително доста на общностите и потребителите. Според тях, без сходни обществени пробиви, уязвимостите в обществената мрежа биха останали незабелязани и неоправени.
Този случай сподели, че всеки един консуматор на ВКонтакте когато и да е е можел да извършва в обществената мрежа JavaScript код . Публикуването на пост в непозната страница е най-безобидното, което може да се направи в този случай. Достатъчно е вредоносният скрипт да бъде малко по-различен и посредством него всеки консуматор на ВКонтакте да получи прикрит и безграничен достъп до данните на случаен акаунт, да чете непознатата преписка, да слуша гласовите известия, да изпраща спам в частните закрити чатове, да си записва скритите фотоси и така нататък Няма и никаква гаранция, че това не се е правило преди „Багоси“-те да покажат уязвимостта. Най-малкото, по-кадърните хакери са можели да изтеглят кореспонденцията на по-известните хора и да я продават в даркнет.
Telegram каналът „Сайберсекьюрити и Ко.“ означи, че обществената мрежа ВКонтакте подценява обикновените правила за осведомителна сигурност. Дори не е настроена политиката за сигурност на наличието, която да дава избрани права за надеждните запаси, откъдето биха могли да идват скриптове и други сходни. При Фейсбук да вземем за пример, тази политика е добре настроена и там са невъзможни пробиви с потреблението на код, вграден в изображенията, както стана в този момент във ВКонтакте.
Днес пресслужбата на ВКонтакте заяви, че уязвимостта е била оправена единствено за 20 минути, и се извини.
Общностите и потребителите на ВКонтакте, на 14-ти февруари вечерта започнаха да разгласяват един и същи пост. В него се споделя, че в персоналните известия на обществената мрежа са се появили реклами.
Двадесет и четири часа преди хакването, същата накърнимост е обсъждана от общността Багоси, участниците в която търсят и намирани разнообразни уязвимости в уеб страницата и приложения на ВКонтакте, само че не ги оповестяват на администрацията на обществената мрежа и разработчиците, а образно показват на потребителите по какъв начин могат да ги употребяват. След офанзивата, общността бе блокирана, само че незабавно се появиха нейни клонинги.
При приемането на вредоносния скрипт, той незабавно се транслира във всички персонални разговори и общественост на атакувания, като по този метод усилва пандемията.
Използваният JavaScript код включва няколко известия, които по инцидентен метод се прикрепят към персоналните разговори на потребителите.
„Багоси“-те са запалянковци, които смятат, че в обществената мрежа ВКонтакте има извънредно доста бъгове и уязвимости, на които разработчиците не отделят нужното внимание във връзка с осведомителната сигурност. Ето за какво, хакерите употребяват по този метод откритите от тях уязвимости – с цел да привлекат към тях оптимално внимание, без да навредят изключително доста на общностите и потребителите. Според тях, без сходни обществени пробиви, уязвимостите в обществената мрежа биха останали незабелязани и неоправени.
Този случай сподели, че всеки един консуматор на ВКонтакте когато и да е е можел да извършва в обществената мрежа JavaScript код . Публикуването на пост в непозната страница е най-безобидното, което може да се направи в този случай. Достатъчно е вредоносният скрипт да бъде малко по-различен и посредством него всеки консуматор на ВКонтакте да получи прикрит и безграничен достъп до данните на случаен акаунт, да чете непознатата преписка, да слуша гласовите известия, да изпраща спам в частните закрити чатове, да си записва скритите фотоси и така нататък Няма и никаква гаранция, че това не се е правило преди „Багоси“-те да покажат уязвимостта. Най-малкото, по-кадърните хакери са можели да изтеглят кореспонденцията на по-известните хора и да я продават в даркнет.
Telegram каналът „Сайберсекьюрити и Ко.“ означи, че обществената мрежа ВКонтакте подценява обикновените правила за осведомителна сигурност. Дори не е настроена политиката за сигурност на наличието, която да дава избрани права за надеждните запаси, откъдето биха могли да идват скриптове и други сходни. При Фейсбук да вземем за пример, тази политика е добре настроена и там са невъзможни пробиви с потреблението на код, вграден в изображенията, както стана в този момент във ВКонтакте.
Днес пресслужбата на ВКонтакте заяви, че уязвимостта е била оправена единствено за 20 минути, и се извини.
Източник: kaldata.com
КОМЕНТАРИ