Запустившись после перехода по ссылке, приложение отправляло пользователя на его модифицированную страницу. На ней включалась анимация всех изображений, сменялся цвет, а фоном играла песня PSY «Gentleman». При этом репост оригинальной записи Мавлиева публиковался незаметно для пользователя не только на его странице, но и во всех публичных сообществах, в которых он числится администратором.
Таким образом пост Мавлиева попал в сотни популярных сообществ, включая официальные: LIVE, «Олимпийские игры», «Команда поддержки», «Подслушано», «Цукерберг Позвонит», страница блогера Дюрана и даже TJournal. В пике запись собрала около 85 тысяч репостов, но потом их количество резко снизилось практически до нуля.
Изображение уменьшено. Щелкните, чтобы увидеть оригинал.
Как объяснил Мавлиев TJournal, в приложении не было ничего вредоносного, кроме репостов. По его словам, возможность такого «взлома» не является виной разработчиков «ВКонтакте»: его суть кроется в «не совсем очевидной» работе класса ExternalInterface. XSS-уязвимость, позволявшая делать репосты, содержалась в плеере Flash. Экс-разработчик «ВКонтакте» Денис Ольшин конкретизировал: ошибка, позволившая распространиться эпидемии репостов, содержалась в коде сервиса видеозвонков, который он и писал, однако взлома аккаунта не происходит, поэтому пароль менять необязательно.
За разработкой приложения стоят трое программистов: Ирек Мавлиев, на странице которого была опубликована запись, а также Лев Локтионов и Александр Гребенщиков. Они же в своё время взломали страницу основателя «ВКонтакте» Павла Дурова, оставив там сообщение «Всем привет от Лёвки, Ирека, Сашки и котанов :3».
Источник http://tjournal.ru/paper/vk-app-hack
