Vit hatt hackare har tagit sig in VKontakte (VK) med spam på alla Hjärtans Dag som en del av en hämnd spratt mot den ryska sociala nätverket efter företaget misslyckats att både fixa och ekonomiskt belöna en säkerhetsforskare för en sårbarhet han rapporterade till den webbplats som året innan.
Händelsen inträffade förra veckan, på alla Hjärtans Dag, 14 februari, och fanns inom några timmar efter att det började, VKontakte laget sa i en VK-vägg-inlägg.
I hjärtat av spam-kampanjen var en mask som skapats av Baghosi, en community för Ryssland-baserade sociala media app-utvecklare.
För att driva deras mask, Baghosi devs används en sårbarhet påverkar VK som upptäcktes av en av dess medlemmar, och redovisas till det sociala nätverket ett år innan.
Baghosi sa VK misslyckats med att erkänna felet rapport, och också misslyckats med att åtgärda problemet, än mindre betala säkerhet forskare för hans fel jakt insatser.
Själva masken är bosatt i ett skript som är gömda inuti en artikel källkod. När någon tittat på den skadliga sidan för att läsa artikeln, den dolda masken skulle skicka en länk till artikeln på VK grupper och sidor läsaren var hantera.
Masken också dras slumpmässigt recensioner från VK-app i Apples App Store och Google Play Store-sidorna.
Den Baghosi team loss masken på VK på alla Hjärtans dag, och artikeln spred sig som en löpeld, med tusentals av nytt inlägg inom några minuter.
Лучшее про взлом ВКонтакте pic.twitter.com/0InivvLsp9
— Awesome Mike (@AwesooomeMike) 14 Februari, 2019
по вконтакте ходит ссылка, при клике на которую во всех группах, которые вы админите появляется вот такой пост с рандомным комментом pic.twitter.com/XJpEZrGTnJ
— анатолий ноготочки💅 (@A_Kapustin) 14 februari, 2019
Во “ВКонтакте” произошел массовый взлом сообществ. Они все постят одну и ту же запись
Напишите в поиске сообщений “всё менъше” увидите pic.twitter.com/4NWpATeFQV
— Не Тв (@NeTVRussia) 14 Februari, 2019
Во вконтакте массовый взлом? pic.twitter.com/62iu2PBrIl
— lite ogudaktiga 🔥 (@foolinanutshell) 14 februari, 2019
Den Baghosi laget kom ren om vad de gjorde i en VK-post. VK laget inledningsvis förbjudit Baghosi VK-sidan, men senare ändrat förbud när det blev klart spam flood var bara ett skämt, och ingen användare data var stulna eller som samlats in under attack.
VKontakte inte svara på e-post förfrågan att söka ytterligare information om förra veckans händelse. Företaget hanterar vanligtvis sårbarhet rapporter via sin bug bounty program på HackerOne.
ZDNet vill tacka våra användare Miriama för hennes hjälp med detta betänkande.
Relaterade förmåner:
Microsoft tar bort åtta cryptojacking appar från officiella storeDirty Strumpa sårbarhet låter angripare få root-åtkomst på Linux systemsGoogle kör en automatisk uppdatering-att-HTTPS experiment i Chrome
En annan kommersiella WordPress plugin får utnyttjas i wildNew macOS säkerhetsbrist kan skadliga appar stjäla din Safari historik
Hacker lägger upp för försäljning i tredje omgången av hackade databaser på Mörka Webben
Cryptomining skadlig kod sprids via AMERIKANSKA, BRITTISKA och Australiska regeringen platser TechRepublicGoogle förbud cryptocurrency gruv-tillägg för Chrome CNET
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter