В VK.com произошел массовый взлом сообществ

[tabac]

От ВКонтакте с любовью: в соцсети произошел массовый взлом сообществ

Сегодня примерно в 19:40 по МСК более 3500 сообществ «ВКонтакте» практически одновременно выложили один и тот же пост с ссылкой на статью c ресурса Liveinternet. Статья была посвящена новости о запуске рекламы в личных сообщениях в ВК.

Как стало известно позже, это была не рекламная кампания и не розыгрыш от разработчиков приуроченный к 14 февраля, а самый настоящий взлом. Жертвами хака стали официальные сообщества «ВКонтакте», крупные паблики, а также группы крупных брендов, таких как «Сбербанк», пиццерия «ДоДо», TJournal, Яндекс и другие.

Как выяснилось позднее, взлом был произведен через XSS-уязвимость. Вредоносный скрипт разместили на одной из страниц сети, при посещении которой на страницах, администрируемых жертвой, автоматически размещалась публикация как на скриншоте ниже. Также прямой переход по ссылке из такого поста автоматически опубликует новость в сообществах, где пользователь обладает правами администратора. Уязвимость до сих пор не исправлена.

Вскоре после взлома, статью на сайте Liveinternet закрыли. На данный момент все посты уже удалены, а разработчики ВК решают проблему.

Ссылка на скрипт, при помощи которого был произведен взлом: https://github.com/rzhaka/prikol/blob/master/yrap.js

 

[ro$e]

хороший ход пиара)

 

[Welizzid]

Главное jabber есть, большего не нужно.

 

[xxss]

Там недавно тема пробегала. Чел спрашивал, как вконтакте сломать... ему еще BurpSuitePro посоветовали ))))

XSS вырастил кулхацкера )))

 

[etc]

Может кто успел взять себе скрипт, поделитесь?)

 

[tabac]

При получении вредоносного кода он тут же транслируется во все личные диалоги и сообщества атакуемого, увеличивая пандемию.

Используемый javascript код можно найти по ссылке.

Примечательно то, что в коде js-пейлоада содержится несколько сообщений, произвольно добавляющихся при распространении:

var t = ["Всё меньше причин оставаться ВК.. Ждем пока mail group окончательно загонят сайт в яму и переходим на telegram", "Дурову пора создавать новый вконтакте, этот уже испортили", "Прости, Паша, мы все прое*али", "Ну это уже ни в какие рамки", "ВКонтакте окончательно загнулись", "Мда, меилру продолжает губить все, к чему прикасается", "Это пи*дец, товарищи", "Раньше было лучше", "стало очень неудобно", "лучше бы делом занялись", "я просто в шоке", "без комментариев", "Как же достали со своими обновлениями", "Фуфло полное ,не трогайте сообщения!", "сначала музыка, теперь ЭТО", "С такими говновведениями, что тут бодяжат последнее время, со всякими дебильными ветоШными комментами, тупыми закладками, невидимыми репостами и т.д., все и так сбегут скоро"],

d = ["Социальная сеть ВKонтакте зaпустила реклaму в личных сообщенияx пользоватeлей", "СМИ: ВКонтакте запустили pекламу в личных соoбщениях", "ВКонтакте запустили рекламу в сообщениях", "ВКонтакте появилась реклама в сообщениях", "ВКонтакте ввели рекламу в сообщениях", "ВКонтакте тестирует рекламу в личныx сообщениях", "ВКонтакте представили рекламу в личных сообщениях", "Реклaма в личных сoобщениях появилась ВКонтакте", "Пользователей BКонтакте взбесила реклама в личных сообщениях", "Пользователи ВКонтакте протестуют против рекламы в личных сообщениях", "Реклама в личных сообщениях вывела из себя пользователей ВКонтакте", "ВКонтакте: мы запускаем рекламу в личных сообщениях", "ВКонтакте: теперь рекламодатели могут размещать рекламу в сообщениях пользователей", "ВКонтакте прокомментировали жалобы пользoвателей на рекламy в сообщeниях", "Пользователи ВКонтакте в ярости из-за рекламы в личных сообщениях", "Пользователи бегут из социальной сети ВКонтакте из-за рекламы в личных сообщениях"],

Уязвимости такого класса и эффекта довольно редки, но тем не менее все еще встречаются. Стоимость такой уязвимости должна оцениваться исходя из ее импакта и того урона, который она может нанести пользователям. Некоторые ресерчеры могут быть не согласны с политикой выплаты вознаграждения и выбирают альтернативный путь — использование ее in the wild ради шутки и привлечения внимания к проблеме.


Почему так вышло?

В вики страницы ВК можно вставлять видосы с ютуба. Они вставляются как iframe. Проблема в том, что ВК не чекает параметр srcdoc, по этому туда кое-кто засунул js, который через DOM пихает тег <script> вместе с самой ссылкой на скрипт, расположенный на сайте rzhaka_github_io (убрал точки специально), в тот iframe, который автоматом вызывается и делает автоматические посты, опять же потому, что вк не проверяет, нажал ли на кнопку пользователь, или бот (капчи нет).
Ещё один прикол в том, что ссылка публикуется не как обычная, а как репост фотки из группы, которая на самом деле та же вики-страница. А текст в вики-страницы как раз из одного из постов на оригинальной ржаке

TL;DR: iframe = плохо

 

[F0xman]

Ситуация на 10:00

- Спустя несколько минут после начала ржаки ВКонтакте начали сносить посты по шаблону |article727491309| - мы использовали генератор случайных предложений, опечаток и даже int overflow, чтобы посты продержались подольше, но увы, последний способ не везде работал.
- Еще спустя полчаса ВКонтакте фиксанули уязвимость в фреймах, при парсинге заменяя в атрибуте srcdoc "c" на кириллическую. Такое было год назад с атрибутами on* - "о" также заменялась на кириллическую (то, что тут написано поймут только те, кто изучал оригинальный скрипт со страницы).
- Спустя еще некоторое время был полностью отключен предосмотр страниц, существовавший с 2012 года (https://vk.com/page-2158488_43998223) - с 1 февраля ему на замену пришли обновленные статьи (https://vk.com/wall-2158488_825608).
- К утру был забанен Github-аккаунт, на котором хостился скрипт.

В итоге на странице набралось более 100к просмотров. Так как ВК учитывает только уникальные просмотры, можно сделать вывод, что "жертвами" червя стали ~140к человек. Точное количество постов неизвестно, их может быть в десятки раз больше (постилось по схеме: пользователь + все администрируемые им группы). Нагрузка на фильтр была настолько сильная, что посты сносились только спустя несколько минут.

Удивительно, что разработчики не предусмотрели инструмент для удаления страниц с предосмотрами сайтов. Страница доступна и сейчас, но уже без контента: https://vk.com/bagosy?w=article727491309_905121871

Позже с нами связался сотрудник ВКонтакте, но диалога не завязалось, а позже он стал и вовсе игнорировать все сообщения, поэтому разбан Багосов остается под вопросом

Сейчас фильтр все еще сносит все личные сообщения, содержащие "article727491309", на стенах это не работает.

https://vk.com/bagosy

 

[leonardocs]

везде испортят и испоганят эти проклятые mail ru