Вечером 14 февраля пользователи ВКонтакте начали получать личные сообщения с вредоносной ссылкой, при нажатии на которую во всех профилях и сообществах, которыми управляет пользователь, публиковалась одна и та же запись:
Подобные сообщения появились в том числе в официальных сообществах соцсети.
Во ВКонтакте сообщили, что ситуация оперативно была взята под контроль:
«Уязвимость была полностью закрыта в течение 20 минут, удалять нежелательные публикации мы начали в течение первой минуты после обнаружения уязвимости. Пользовательские данные и пароли находятся в безопасности, личные страницы и сообщества не были взломаны. Мы оперативно проведем продуктовые обновления, чтобы предотвратить такие ситуации в будущем. Мы приносим извинения пользователям, столкнувшимся с возможными неудобствами из-за данного инцидента, и благодарим всех, кто поддержал нас».
Кроме того, компания Mail.ru официально заявила, что ВКонтакте не планировала и не планирует вводить рекламу в чатах, это фейк.
Ответственность за произошедшее взяло на себя сообщество «Багоси», состоящее из программистов, специализирующихся на поиске уязвимостей в социальной сети:
«Что ж, шалость удалась. К сожалению, основную группу забанили, но надеемся, что у сотрудников еще осталось чувство юмора и ее разбанят. Так как уязвимость принадлежала пользователю, который больше не занимается их поиском, это было в последний раз».
Как пояснили авторы «праздничной шутки», ими использовался скрипт, который постил ссылку во все администрируемые группы и на личную страницу пользователя. Пока пользователь читал текст, скрипт выполнялся, при этом личные данные никуда не утекали. Комментарии к записям были составлены из отзывов к программе ВКонтакте в Google Play и AppStore, а сама статья - из кликбейтных новостей с сайта AKKet.