俄国社群网站Vkontakte(VK)在接获研究人员通报有漏洞却不着手修补、也不给奖金,使研究人员决定发动网络钓鱼恶作剧作为报复。
ZDNet报导,俄国社群app Baghosi开发人员社群一年前发现在VK网站存在某项漏洞,并主动通报官方。
VK曾在HackOne公布过漏洞挖掘奖励方案,结果VK不但不承认有漏洞、也不修补,更没有依约支付研究人员漏洞挖掘奖金。为此研究人员决定给他们一点教训。
研究人员说明,他们在2月14日当天,以该公司的帐号在VK网站贴出一条新闻,这篇新闻内藏了一段script,其中有段蠕虫程序。当有用户想看完翻新闻而点击链接时,就会下载这只蠕虫,并立即在VK网站管理员群组及所有用户个人网页贴出该新闻,并随机从苹果App Store和Google Play Store中抓来关于VK app的用户评论,这有助于网站杀毒软件的侦测,使灾情更持久。一时之间这篇钓鱼新闻迅速在VK网站蔓延开来,估计这篇新闻点击数超过10万,而受害者可能超过14万,至于贴文数更不计其数。
ZDNet报导,VK的管理员立即封锁了Baghosi的帐号。不过随后他们发现这只是一场恶作剧,并没有任何用户数据被窃,最后将其帐号恢复。至于是否给了奖金则不得而知。