В «Максе» взломали бот для создания отложенных сообщений. В результате в десятке каналов появился один и тот же пост, указывающий на уязвимость (надо сказать, весьма щадящий)
В конце мая десятки мелких и средних каналов в «Максе» опубликовали один и тот же пост. Начинался он примерно так: «Женя, привет. Я посмотрел твою Отложку, она дырявая очень сильно».
Речь шла про популярный бот «Отложка» для управления автоматическими публикациями, которым пользовались администраторы всех этих каналов.
По словам разработчика, который обнаружил уязвимость, он писал о ней создателям бота, но они проигнорировали его сообщения. Также он рассказал, что специально не стал писать в каналы-миллионники, которые тоже пользовались «Отложкой».
Работала уязвимость примерно так: в начале бот запрашивал права администратора в канале — это нормальная практика, иначе он просто не сможет делать публикации. Однако в данном случае внутренняя безопасность была настолько слабой, что кнопкой «опубликовать» во всех каналах мог воспользоваться кто угодно, обнаруживший уязвимость.
Как отмечает автор поста об уязвимости на «Хабре», главный анекдот заключался в том, что параллельно со взломом во многих каналах крутилась реклама о «надежном и безопасном» боте, прошедшем «аудит безопасности у ведущих специалистов по ИБ в России».
После того как об уязвимости стало известно, создатели бота написали несколько дежурных сообщений о том, что уязвимость устранена, но не сообщив деталей о том, что это была за проблема и действительно ли она не вернется.
Фото: Pakistanis / «Хабр»
Подписывайся на