В четверг вечером, 14 февраля 2019 года, пользователи начали замечать спам-ссылки на страницах сообществ, а при клике на них, такие же записи появлялись и у них на стене странице.

JS-эксплойт распространялся очень просто и быстро. Достаточно нажать на подобное объявление и такая же ссылка появится во всех ваших группах и на личной странице. В общем, везде, куда дотянется скрипт.

Пример сообщения на странице

Скорее всего появление таких постов исходит из уязвимости XSS-защиты социальной сети. Во ВКонтакте уже всё исправили и отчитались об этом вчера, в 23-00 по МСК.

Уязвимость была полностью закрыта в течение 20 минут, удалять нежелательные публикации мы начали в течение первой минуты после обнаружения. Пользовательские данные и пароли находятся в безопасности, личные страницы и сообщества не были взломаны.

Мы оперативно проведём продуктовые обновления, чтобы предотвратить такие ситуации в будущем. Мы приносим извинения пользователям, столкнувшимся с возможными неудобствами из-за данного инцидента, и благодарим всех, кто поддержал нас.

Пресс-служба ВКонтакте

Подписывайтесь на IT Zine в Telegram