White hat hacker hanno invaso VKontakte (VK) con lo spam a san Valentino come parte di una vendetta scherzo contro il russo social network, dopo che la società non è riuscita a risolvere e finanziariamente premiare un ricercatore di sicurezza per una vulnerabilità ha segnalato per il sito di un anno prima.
L’incidente è avvenuto la scorsa settimana, nel Giorno di san Valentino, il 14 febbraio, ed è stata contenuta entro le ore dopo che è iniziato, VKontakte squadra ha detto in TV a parete.
Nel cuore della campagna di spam era un worm creato da Baghosi, una comunità per la Russia-based social media gli sviluppatori di app.
Per alimentare il loro verme, Baghosi devs utilizzato una vulnerabilità impatto VK che è stato scoperto da uno dei suoi membri, e segnalato per il social network di un anno prima.
Baghosi detto VK non è riuscito a riconoscere la segnalazione di bug, e non è riuscito a risolvere il problema, figuriamoci pagare il ricercatore di sicurezza per la sua caccia di bug sforzi.
L’attuale worm risiedevano in uno script nascosto all’interno di un articolo del codice sorgente. Quando chiunque di accedere la pagina pericolosa per leggere l’articolo, nascosto worm vuoi postare un link all’articolo sul VK gruppi e pagine il lettore è in corso di gestione.
Il worm tirato casuale recensioni dal VK app di Apple App Store e Google Play Store pagine.
Il Baghosi team scatenato il verme su VK giorno di san Valentino, e l’articolo diffondersi a macchia d’olio, con migliaia di ri-post in pochi minuti.
Лучшее про взлом ВКонтакте pic.twitter.com/0InivvLsp9
— Impressionante Mike (@AwesooomeMike) 14 Febbraio, 2019
по вконтакте ходит ссылка, при клике на которую во всех группах, которые вы админите появляется вот такой пост с рандомным комментом pic.twitter.com/XJpEZrGTnJ
— анатолий ноготочки💅 (@A_Kapustin) 14 febbraio, 2019
Во «ВКонтакте» произошел массовый взлом сообществ. Они все постят одну и ту же запись
Напишите в поиске сообщений “всё менъше” увидите pic.twitter.com/4NWpATeFQV
— Не Тв (@NeTVRussia) 14 Febbraio, 2019
Во вконтакте массовый взлом? pic.twitter.com/62iu2PBrIl
— un po ‘ malvagi 🔥 (@foolinanutshell) 14 febbraio, 2019
Il Baghosi squadra di venuto pulito su quello che hanno fatto in un VK post. Il VK team inizialmente vietato la Baghosi VK pagina, ma poi invertito il divieto di quando è diventato evidente che la spam, flood era solo una battuta, e non i dati dell’utente è stato rubato o raccolti durante l’attacco.
VKontakte non ha risposto a una e-mail di richiesta alla ricerca di ulteriori dettagli circa l’ultima settimana dell’evento. L’azienda di solito gestisce vulnerabilità report attraverso la sua bug bounty program su HackerOne.
ZDNet, vorrei ringraziare il nostro utente di Miriama per il suo aiuto con questo rapporto.
Relative la copertura di sicurezza:
Microsoft rimuove otto cryptojacking app ufficiale storeDirty Calzino vulnerabilità consente agli aggressori ottenere l’accesso root su Linux systemsGoogle esegue un auto-update-per-HTTPS esperimento di Chrome
Un altro WordPress commerciale plugin viene sfruttato in wildNew macOS falla di sicurezza consente di applicazioni dannose rubare il vostro Safari cronologia di navigazione
Hacker mette in vendita il terzo turno di violato i database sul Buio Web
Cryptomining diffusione di malware attraverso di NOI, il regno UNITO e il governo Australiano siti TechRepublicGoogle divieti di cryptocurrency di data mining estensioni per Chrome CNET
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati