俄國社群網站VK曾在HackOne公佈過抓漏獎勵方案,結果事後接到漏洞通報不但不承認有漏洞、也不修補,更沒有依約支付抓漏獎金,於是研究人員決定惡作劇給他們一點教訓。

俄國社群網站Vkontakte(VK)在接獲研究人員通報有漏洞卻不著手修補、也不給獎金,使研究人員決定發動網釣惡作劇作為報復。

ZDNet報導,俄國社群app Baghosi開發人員社群一年前發現在VK網站存在某項漏洞,並主動通報官方。

VK曾在HackOne公佈過抓漏獎勵方案,結果VK不但不承認有漏洞、也不修補,更沒有依約支付研究人員抓漏獎金。為此研究人員決定給他們一點教訓。

研究人員說明,他們在2月14日當天,以該公司的帳號在VK網站貼出一條新聞,這篇新聞內藏了一段script,當中有段蠕蟲程式。當有用戶想看完整新聞而點選連結時,就會下載這隻蠕蟲,並立即在VK網站管理員群組及所有用戶個人網頁貼出該新聞,並隨機從蘋果App Store和Google Play Store中抓來關於VK app的用戶評論,這有助於網站防毒軟體的偵測,使災情更持久。一時之間這篇釣魚新聞迅速在VK網站蔓延開來,估計這篇新聞點閱數超過10萬,而受害者可能超過14萬,至於貼文數更不計其數。

ZDNet報導,VK的管理員立即封鎖了Baghosi的帳號。不過隨後他們發現這只是一場惡作劇,並沒有任何用戶資料被竊,最後將其帳號恢復。至於是否給了獎金則不得而知。


Advertisement

更多 iThome相關內容