Хакер устроил эпидемию репостов во «ВКонтакте» Статьи редакции
Пользователь Ирек Мавлиев опубликовал у себя на странице запись, ссылка в которой вела на приложение, автоматически публикующее его пост на чужих страницах и сообществах. За полчаса ничем не примечательная запись набрала более 80 тысяч репостов.
Запустившись после перехода по ссылке, приложение отправляло пользователя на его модифицированную страницу. На ней включалась анимация всех изображений, сменялся цвет, а фоном играла песня PSY «Gentleman». При этом репост оригинальной записи Мавлиева публиковался незаметно для пользователя не только на его странице, но и во всех публичных сообществах, в которых он числится администратором.
Таким образом пост Мавлиева попал в сотни популярных сообществ, включая официальные: LIVE, «Команда поддержки», «Подслушано», «Цукерберг Позвонит», страница блогера Дюрана и даже TJournal. В пике запись собрала около 85 тысяч репостов, но потом их количество резко снизилось практически до нуля.
Как объяснил Мавлиев TJournal, в приложении не было ничего вредоносного, кроме репостов. По его словам, возможность такого «взлома» не является виной разработчиков «ВКонтакте»: его суть кроется в «не совсем очевидной» работе класса ExternalInterface. XSS-уязвимость, позволявшая делать репосты, содержалась в плеере Flash. Экс-разработчик «ВКонтакте» Денис Ольшин конкретизировал: ошибка, позволившая распространиться эпидемии репостов, содержалась в коде сервиса видеозвонков, который он и писал, однако взлома аккаунта не происходит, поэтому пароль менять необязательно.
Созданное Мавлиевым приложение администрация «ВКонтакте» удалила через 20-25 минут после публикации. Появилось ещё как минимум одно такое же приложение, однако и оно было заблокировано.
Мавлиев объясняет акцию желанием повеселиться, но она также была своего рода экспериментом: он хотел узнать, как быстро будет распространяться информация, и поделился статистикой своей страницы.
За разработкой приложения стоят трое программистов: Ирек Мавлиев, на странице которого была опубликована запись, а также Лев Локтионов и Александр Гребенщиков. Они же в своё время взломали страницу основателя «ВКонтакте» Павла Дурова, оставив там сообщение «Всем привет от Лёвки, Ирека, Сашки и котанов :3».
\ \
TJ - самые оперативные СМИ
ЦП релиз раньше запостил.
И написали бред какой-то, назвав количество лайков под постом - репостами и то, когда их было около 57.000, а так же TJ раньше связались с самим Иреком.
Вывод: кто-то пишет новости, а кто-то о стартапах.
Может меня сейчас сольют, но ЦП уже не в тренде. У TJ новости намного интересней и информативнее.
ЦП на одном Загоруйко держится.
Таких людей надо брать на работу вконтакте, а не стюардесс.
У Ирека вот отличное поучилось резюме.
Дуров уже добавил в друзья.
он давно у него в друзьях, еще до этой "эпидемии репостов"... так что не гони!
Насколько
Этот комментарий для тех, кто был тут в самом начале жизни статьи.
Для понимания.
Вадим, я был, когда Никита еще не поставил галку в админке. Было просто "Насколько". Получалось многозначительно и закончено, кстати.
Да я вообще видел эту новость еще закрытую в админке, понял!?
Куб дня http://coub.com/view/275m82wr
Насколько известно, материал дополняется.
Я тут был еще тогда, когда он не дополнялся!
создал копию! http://vk.com/app3996515 но недоработал. так что без музыки.
еще веселее но без репостов http://vk.com/userpage
ВКОНТАТКЕ!
КТОВТАНКЕ
Сколько вайна из-за безобидной шутки.
То, что происходило на экране стоило репостов.
зато я выяснила, в скольки группах стою админом
Я бы запихнул туда рекламу...
Тогда ты был бы пиромдо, а не Хацкером
http://javascript.ru/unsorted/bridge-to-flash
Пожалуйста, при наличии минимальных знаний в js и flash можно засунуть во флэшку код, который имортнёт откуда-нибудь наш «хороший» код и хана. Можно же при модификации заадминиться в крупных пабликах))
Если он уже не работает в ВК.
зря таланты пропадают
Самое интересное, что Дуров и Ирек сейчас оба онлайн) Скорее всего, договариваются о собеседовании)
Комментарий удален модератором
Комментарий удален модератором
За такие скриншоты надо руки отрубывать. Неужели так тяжело выделить нужную часть?
Он http://vk.com/id136639041 тоже такое сделал
Когда-то.
Уже забанили.
А приложение осталось http://vk.com/app3996515
И это забанили.
Проиграл с бомбермена
На всякий случай надо изменить имя и переехать в другую страну
Комментарий удален модератором
Теперь этот код с багом есть минимум у 2х человек, такое и в фейсбуке будет работать по идее. И никак не защититься, только если вк со своей стороны будет этот кусок флеша блочить.
Лолита права) было круто
Ошибка была в неправильной настройке доступа в файле crossdomain.xml. Давно хотел пофаниться с кросс-доменными запросами, но все руки не доходили. Но XSS это конечно прикольно. Можно ли уточнить тип XSS ( хранимая, отражаемая)?
Сломайте уже фейсбук кто-нибудь.
Напишите плиз мне в лс http://vk.com/id169600195 кто поможет сделать такое очень хорошо оплачу.
Бля пацаны это был я и все не чего такого я не сделал!!!!
Красиво счётчик просмотров меняет цифры
Насчёт этого мудака...пусть в аду горит, где его также крутит и меняет цвет
Ирек Мавлиев и Лёвик Локтионов уже поставили мне минусы, остался Александр Гребенщиков
Бомбанул, так бомбанул!
у многих только что бомбануло, у меня в том числе...
Очень жаль.