15 ноября
Загрузить еще

Пользователей "Вконтакте" атаковал хакер

Пользователей
Фото: Скриншот оригинальной записи с сайта tjournal.ru
Пользователь Ирек Мавлиев опубликовал у себя на странице запись, ссылка в которой вела на приложение, автоматически публикующее его пост на чужих страницах и сообществах. За полчаса ничем не примечательная запись набрала более 80 тысяч репостов, пишет tjournal.ru.
 
Запустившись после перехода по ссылке, приложение отправляло пользователя на его модифицированную страницу. На ней включалась анимация всех изображений, сменялся цвет, а фоном играла песня PSY "Gentleman". При этом репост оригинальной записи Мавлиева публиковался незаметно для пользователя не только на его странице, но и во всех публичных сообществах, в которых он числится администратором.
 
Таким образом пост Мавлиева попал в сотни популярных сообществ, включая официальные: LIVE, "Олимпийские игры", "Команда поддержки", "Подслушано", "Цукерберг Позвонит", страница блогера Дюрана и даже TJournal. В пике запись собрала около 85 тысяч репостов, но потом их количество резко снизилось почти до нуля.
 
Как объяснил Мавлиев TJournal, в приложении не было ничего вредоносного, кроме репостов. По его словам, возможность такого "взлома" не является виной разработчиков "ВКонтакте": его суть кроется в "не совсем очевидной" работе класса ExternalInterface. XSS-уязвимость, позволявшая делать репосты, содержалась в плеере Flash. Экс-разработчик "ВКонтакте" Денис Ольшин конкретизировал: ошибка, позволившая распространиться эпидемии репостов, содержалась в коде сервиса видеозвонков, который он и писал.
 
Созданное Мавлиевым приложение администрация "ВКонтакте" удалила через 20-25 минут после публикации. Появилось еще как минимум одно такое же приложение, однако и оно было заблокировано.
 
Мавлиев объясняет акцию желанием повеселиться, но она также была своего рода экспериментом: он хотел узнать, как быстро будет распространяться информация, и поделился статистикой своей страницы.