Месть удалась: кто и зачем взломал «ВКонтакте»
Ответственность за взлом социальной сети «ВКонтакте» взяла на себя хакерская группировка, которая действовала из соображений мести. Оказывается, около года назад они нашли уязвимость в коде, о которой уведомили администрацию сервиса, но так и получили своего вознаграждения.
«Шалость удалась»
Вечером 14 февраля пользователи «ВКонтакте» обнаружили, что неизвестные лица отправляют им в сообщения ссылки, при нажатии на которые во всех профилях и группах пользователя публикуется идентичная запись. Ссылка якобы сообщала о том, что в социальной сети появится реклама в личных сообщениях.
«В некоторых сообществах появились нежелательные публикации: переход по ссылке приводил к распространению новых записей с ней. Ситуация под контролем. Сообщества не были взломаны, пароли их администраторов в безопасности», — сообщила тогда пресс-служба «ВКонтакте».
При этом уточнялось, что инцидент произошел из-за уязвимости, позволявшей выполнить произвольный код JavaScript.
Спустя около получаса коварная уязвимость, охватившая всю социальную сеть, была устранена.
«Уязвимость была полностью закрыта в течение 20 минут, удалять нежелательные публикации мы начали в течение первой минуты после обнаружения уязвимости. Пользовательские данные и пароли находятся в безопасности, личные страницы и сообщества не были взломаны. Мы оперативно проведем продуктовые обновления, чтобы предотвратить такие ситуации в будущем. Мы приносим извинения пользователям, столкнувшимся с возможными неудобствами из-за данного инцидента, и благодарим всех, кто поддержал нас», — рассказали «Газете.Ru» в пресс-службе компании.
Как выяснилось позднее, организаторами взлома стали не абстрактные хакеры, а конкретная группировка, которая год назад выявила уязвимость соцсети и сообщила о ней ее сотрудникам, а те не отблагодарили ее за помощь.
Своеобразный «анонс» взлома появился на странице группировки «ВКонтакте» за десять часов до начала атаки. После этого хакеры опубликовали запись, в которой пытаются объяснить свои мотивы.
«Для тех, кому интересно, что произошло. В статью был встроен скрипт, который постил ссылку во все администрируемые группы и на личную страницу пользователя. Пока пользователь читал текст, он выполнялся, при этом личные данные никуда не утекали. Кстати, комментарии к записям были составлены из отзывов к программе ВКонтакте в Google Play и AppStore, а сама статья из кликбейтных новостей с сайта AKKet (это локальный мем, многие могут не знать, что это за сайт)», — пишут инициаторы взлома.
По их словам, они воспользовались уязвимостью, о которой стало известно еще год назад.
«Тогда сотрудники «ВКонтакте» кинули и не выплатили баунти [вознаграждение — «Газета.Ru»], в итоге было решено ее использовать, но не нанося вред пользователям. Тогда, после устранения уязвимости, было найдено множество обходов, но даже спасибо мы за них не получили», — жалуются хакеры.
«В итоге остался последний обход, который мы берегли целый год. Сегодня за несколько часов был написан код. Чтобы посты было сложнее сносить антиспамом и записи продержались хотя бы полчаса, заголовок и комментарий подбирались рандомно. Что ж, шалость удалась. К сожалению, основную группу забанили, но надеемся, что у сотрудников еще осталось чувство юмора и ее разбанят. Так как уязвимость принадлежала пользователю, который больше не занимается их поиском, это было в последний раз», — говорится в публикации.
На момент публикации заметки основная группа хакеров остается заблокированной «в связи с возможным нарушением правил сайта».
Данные под контролем
В октябре прошлого года руководство социальной сети «ВКонтакте» в специальном разделе объяснило пользователям, каким образом обрабатываются запросы чиновников и судов по размещенным данным.
В частности, в материале говорится о том, что в соответствии с российским законодательством суды и правоохранительные органы имеют право запрашивать сведения о пользователях на этапе оперативно-розыскной деятельности, на стадии предварительного расследования и в процессе судебного разбирательства.
В соцсети подчеркнули, что полиция не обязана раскрывать причину запроса, а сама компания не может предупредить о нем из-за необходимости сохранения тайны следствия.
В компании отметили, что переписка пользователей может быть предоставлена правоохранительным органам только по решению суда.
Спустя месяц «ВКонтакте» запустила возможность скачивать данные своего профиля в виде архива. В социальной сети заявили, что функция позволит пользователю получить полное и наглядное представление о том, какие данные сохраняются на серверах компании.