俄國社群網站對於漏洞通報翻臉不認帳，研究人員以惡作劇報復

俄國社群網站Vkontakte（VK）在接獲研究人員通報有漏洞卻不著手修補、也不給獎金，使研究人員決定發動網釣惡作劇作為報復。

ZDNet報導，俄國社群app Baghosi開發人員社群一年前發現在VK網站存在某項漏洞，並主動通報官方。

VK曾在HackOne公佈過抓漏獎勵方案，結果VK不但不承認有漏洞、也不修補，更沒有依約支付研究人員抓漏獎金。為此研究人員決定給他們一點教訓。

研究人員說明，他們在2月14日當天，以該公司的帳號在VK網站貼出一條新聞，這篇新聞內藏了一段script，當中有段蠕蟲程式。當有用戶想看完整新聞而點選連結時，就會下載這隻蠕蟲，並立即在VK網站管理員群組及所有用戶個人網頁貼出該新聞，並隨機從蘋果App Store和Google Play Store中抓來關於VK app的用戶評論，這有助於網站防毒軟體的偵測，使災情更持久。一時之間這篇釣魚新聞迅速在VK網站蔓延開來，估計這篇新聞點閱數超過10萬，而受害者可能超過14萬，至於貼文數更不計其數。

ZDNet報導，VK的管理員立即封鎖了Baghosi的帳號。不過隨後他們發現這只是一場惡作劇，並沒有任何用戶資料被竊，最後將其帳號恢復。至於是否給了獎金則不得而知。