Хакерам удалось обойти защиту XSS и внедрить сторонний JS-скрипт. Поэтому в соцсети начало массово распространяться одно и то же сообщение.
Представители социальной сети заявили об оперативном решении проблемы.
Уязвимость была полностью закрыта в течение 20 минут, удалять нежелательные публикации мы начали в течение первой минуты после обнаружения уязвимости.
Во «ВКонтакте» объяснили, что личные данные и аккаунты пользователей не пострадали — это не массовый взлом паролей. Просто при нажатии на ссылку с новостью «'ВКонтакте' запустили рекламу в сообщениях», такое же сообщение публиковалась от имени пользователя и сообществ, которыми он управляет.
Мы оперативно проведём продуктовые обновления, чтобы предотвратить такие ситуации в будущем. Мы приносим извинения пользователям, столкнувшимся с возможными неудобствами из-за данного инцидента, и благодарим всех, кто поддержал нас.
Также в соцсети напомнили хакерам, что за эту уязвимость они могли бы заработать деньги. Для этого есть официальная программа HackerOne.
Читайте также:
