Bug berbahaya ditemukan dan berhasil dieksploitasi dalam fungsionalitas jejaring sosial Vkontakte - XSS yang tersimpan dengan fungsionalitas cacing jaringan.
Kerentanan sekarang telah diperbaiki.
Komunitas dan pengguna VKontakte pada malam 14 Februari mulai mempublikasikan pos yang sama. Catatan mengatakan bahwa iklan muncul dalam pesan pribadi di jejaring sosial.
Sehari sebelum peretasan, komunitas Bagosi berdiskusi tentang kerentanan, namun jaringan sosial tidak siap untuk serangan itu.
Setelah dimulainya serangan, komunitas diblokir, tetapi beberapa klon segera muncul.
Setelah menerima kode berbahaya, kode itu segera diterjemahkan ke dalam semua dialog pribadi dan komunitas yang diserang, sehingga meningkatkan pandemi.
Kode javascript yang digunakan dapat ditemukan di tautan .
Perlu dicatat bahwa kode payload js berisi beberapa pesan yang ditambahkan secara sewenang-wenang selama distribusi:
var t = [" .. mail group telegram", " , ", ", , *", " ", " ", ", , ", " *, ", " ", " ", " ", " ", " ", " ", " , !", " , ", " , , , , .., "], d = [" K a a x e", ": p o", " ", " ", " ", " x ", " ", "a o ", " B ", " ", " ", ": ", ": ", " o y e", " - ", " - "],
Kerentanan dan efek dari kelas ini cukup langka, namun tetap saja terjadi. Biaya kerentanan semacam itu harus diperkirakan berdasarkan dampaknya dan kerusakan yang dapat ditimbulkan pengguna. Beberapa reservasi mungkin tidak setuju dengan kebijakan remunerasi dan memilih cara alternatif - menggunakannya di alam liar untuk lelucon dan untuk menarik perhatian pada masalah tersebut.
Apa yang harus dilakukan: keluar dari semua sesi jaringan sosial dan ubah kata sandi (opsional, tetapi diinginkan), dan juga periksa nomor telepon dan email yang terkait dengan akun tersebut.