14 февраля в личных профилях пользователей, а также в сообществах и пабликах «ВКонтакте» начала появляться одна и та же запись, которая сообщала о появлении в социальной сети рекламы, рассылаемой в личные сообщения. При переходе по ссылке пользователи видели пост с заголовком «ВКонтакте запустили рекламу в сообщениях», пишет TJ.
Выяснилось, что причиной такой массовой рассылки стала XSS-уязвимость. Злоумышленники смогли внедрить в страницу поста JS-скрипт, который автоматически публиковал запись в профиле и сообществах, сопровождая случайным комментарием.
«В некоторых сообществах появились нежелательные публикации: переход по ссылке приводил к распространению новых записей с ней. Ситуация под контролем. Сообщества не были взломаны, пароли их администраторов в безопасности», – подтвердили информацию представители «ВКонтакте».