Данный сервис без предварительного согласия пользователей собирает и использует их данные. Это грубое нарушение правил «ВКонтакте». Наша команда инициировала разбирательство: для защиты интересов пользователей мы готовим обращение в суд и продуктовые обновления, которые ограничивают доступ к данным аудитории.
Социальная сеть «ВКонтакте» готовит судебный иск к разработчикам SearchFace, который позволяет находить профили пользователей по фотографиям. Кроме того, она обновит внутренний код и запретит этому сервису получать доступ к снимкам пользователей.
Какие требования будут указаны в иске, неизвестно. Создатели SearchFace скрывают себя, поэтому непонятно, удастся ли вызвать их в суд. SearchFace по своим возможностям повторяет сервис FindFace, запущенный в 2016 году. К нему у «ВКонтакте» не было претензий.
«ВКонтакте» взломали
Во «ВКонтакте» произошел массовый взлом профилей и сообществ — во всех из них постится одна и та же запись с критикой несуществующего нововведения социальной сети. В записи говорится о том, что в личных сообщениях VK появилась реклама, а источником информации выступил распространитель фейковых новостей AKKet.
Коллеги из TJ сообщают, что причина загадочного появления постов может заключаться в уязвимости в XSS-защите социальной сети. При переходе по ссылке, рекламная запись публикуется во все профили и сообщества, которыми управляет пользователь.
Пример появляющихся записей
Днем 14 февраля в популярном сообществе «БАГОСЫ», участники и администраторы которого занимаются поиском уязвимостей в «ВК», опубликовали несколько записей про новый баг: рассказать о нем пообещали после сбора нескольких сотен лайков на соответствующих публикациях.
После того, как в профилях и сообществах «ВКонтакте» начали появляться одинаковые записи, паблик «Багосы» заблокировали «в связи с возможным нарушением правил сайта», а под появлявшимися везде постами пользователи писали сообщения «Опять эти Багосы».
Обновлено в 20:30:
Во «ВКонтакте» подтвердили, что уязвимость позволяла исполнять произвольный JS-код. Проблему уже исправляют:
«Ситуация под контролем, мы начали удалять нежелательные публикации в течение первой минуты после обнаружения уязвимости.
Переход по ссылкам приводил к эффекту волны и дальнейшему распространению публикаций. Уязвимость, которая позволяла выполнять произвольный js [код], уже исправляется», — пресс-служба «ВКонтакте».
Массовый спам в пабликах — самое безобидное, что могло случиться с «ВКонтакте»
14 февраля тысячи сообществ «ВКонтакте» опубликовали ссылку на одну и ту же фейковую новость о том, что личных сообщениях появилась реклама. К этому «взлому» причастно сообщество «Багосы», администраторы которого находят различные уязвимости на сайте и в приложениях «ВКонтакте», но не рассказывают о них администрации соцсети или разработчикам, а наглядно демонстрируют подписчикам, как их можно использовать.
Схема публикации спама довольно запутанная. Текст и заголовок постоянно менялись (вероятно, чтобы разработчикам «ВКонтакте» было сложнее остановить их распространение), а ссылка вела на вики-страницу в верифицированном сообществе «Команда ВКонтакте», в которую скопирована публикация из блога на сайте LiveInternet. В исходную статью вставлено несколько изображений, которые находятся на серверах «ВКонтакте» и содержат вредоносный код.
После того, как какой-нибудь пользователь переходил по ссылке, от его имени исполнялся JavaScript-код, и во всех сообществах, которые он администрирует, а также на его странице появлялась ссылка на фейковую новость. Её видели другие люди, переходили по ссылке — и таким образом в течение нескольких минут спам распространился по тысячам пабликов, включая самые популярные.
Подобная ситуация произошла в декабре 2017 года, когда официальные сообщества «ВКонтакте» и другие страницы опубликовали статью поддельного паблика «Медузы» о якобы убитом политике Алексее Навальном.
Из паблика «Багоси»:
Для тех, кому интересно, что произошло. В статью был встроен скрипт, который постил ссылку во все администрируемые группы и на личную страницу пользователя. Пока пользователь читал текст, он выполнялся, при этом личные данные никуда не утекали. Кстати, комментарии к записям были составлены из отзывов к программе ВКонтакте в Google Play и AppStore, а сама статья из кликбейтных новостей с сайта AKKet (это локальный мем, многие могут не знать, что это за сайт). Уязвимость использовалась та же, что и год назад (Демократия), тогда сотрудники ВКонтакте кинули и не выплатили баунти, в итоге было решено её использовать, но не нанося вред пользователям. Тогда, после устранения уязвимости, было найдено множество обходов, но даже спасибо мы за них не получили. В итоге остался последний обход, который мы берегли целый год. Сегодня за несколько часов был написан код. Чтобы посты было сложнее сносить антиспамом и записи продержались хотя бы полчаса, заголовок и комментарий подбирались рандомно. Что ж, шалость удалась. К сожалению, основную группу забанили, но надеемся, что у сотрудников еще осталось чувство юмора и её разбанят. Так как уязвимость принадлежала пользователю, который больше не занимается их поиском, это было в последний раз.
«Багосы» — энтузиасты, которые считают, что во «ВКонтакте» очень много багов и уязвимостей, а разработчики не уделяют должного внимания вопросам безопасности. Именно поэтому хакеры хотя и эксплуатируют найденные уязвимости именно таким образом — чтобы привлечь к ним максимум внимания и не сильно навредить сообществам и пользователям. Без таких публичных «взломов» уязвимости соцсети оставались бы незамеченными.
Сегодняшний инцидент показал, что любой пользователь всё это время мог исполнять в соцсети любой JavaScript-код. Публикация поста на чужой странице — самое безобидное, что можно сделать в таком случае. Если бы вредоносный код был другим, кто угодно мог бы получить скрытый и неограниченный доступ к данным любых аккаунтов и читать чужую переписку, прослушивать голосовые сообщения, рассылать спам в приватных чатах, собирать скрытые фотографии. Нет никакой гарантии того, что это не происходило до того, как «Багосы» массово запустили фейковый спам в крупнейших пабликах. Хакеры вполне могли скачать из «ВКонтакте» переписку всех пользователей (или хотя бы известных людей) и выставить эти данные на продажу в даркнете.
Как отмечает telegram-канал «Сайберсекьюрити и Ко.», соцсеть «ВКонтакте» пренебрегает элементарными правилами безопасности. Например, у неё не настроена политика безопасности контента, которая устанавливает перечень доверенных ресурсов, откуда могут подгружаться скрипты и прочие материалы. У Facebook эта политика настроена, поэтому там невозможны взломы и атаки с использованием кода, встроенного в картинки.
