Hacker News Digest

Тег: #facebook

Постов: 2

Adult sites are stashing exploit code inside svg files (arstechnica.com)

  • Суть атаки: порносайты внедряют вредоносный код в файлы .svg, которые при клике заставляют браузер ставить лайк заданным постам в Facebook без ведома пользователя.
  • Техника: SVG-файлы содержат скрытый JavaScript, зашифрованный через «JSFuck». После раскодировки загружается цепочка скриптов, завершающаяся трояном Trojan.JS.Likejack, который кликает «Like».
  • Условие: пользователь должен быть авторизован в Facebook в этом же браузере.
  • Масштаб: десятки сайтов на WordPress используют схему; Facebook блокирует связанные аккаунты.
  • История: злоупотребления SVG-файлами фиксировались раньше — эксплойты Roundcube в 2023 г. и фишинг Microsoft в июне 2025 г.

by The-Old-Hacker • 10 августа 2025 г. в 11:45 • 81 points

ОригиналHN

#javascript#svg#csrf#wordpress#facebook

Комментарии (71)

  • Вредоносные SVG-файлы на порносайтах заставляют браузер ставить «лайк» на Facebook без ведома пользователя.
  • Это работает через обычный CSRF: SVG, загруженный в iframe или открытый в новой вкладке, выполняет JavaScript, который вызывает Facebook-API.
  • Если SVG вставлен как картинка (<img src=file.svg>), скрипты не запускаются; уязвимость появляется только при «полном» показе SVG.
  • Некоторые считают, что проблема не в SVG, а в отсутствии защиты от CSRF со стороны Facebook.
  • Пользователи советуют блокировать JS по умолчанию (NoScript/uBlock), использовать режим инкогнито или отдельные контейнеры для Facebook.

The dead need right to delete their data so they can't be AI-ified, lawyer says (theregister.com)

by rntn • 09 августа 2025 г. в 13:32 • 151 points

ОригиналHN

#gdpr#facebook#llm

Комментарии (98)

  • Умершие юридически не имеют прав, но их «цифровые тела» — аккаунты, данные, образ — превращаются в спорный актив, распределяемый по завещанию или усмотрению платформ.
  • Пользователи жалуются, что Facebook годами не переводит аккаунты покойных в статус «in memoriam», несмотря на предоставленные свидетельства о смерти.
  • Участники опасаются, что ИИ-копии умерших будут использоваться для рекламы, мошенничества или «воскрешения» без согласия, и предлагают ввести opt-in режим.
  • Обсуждаются правовые механизмы: включение лицевых данных в состав наследства, передача GDPR-прав по завещанию, создание трастов для защиты цифрового образа.
  • Одни считают любое посмертное ИИ-клонирование «некромантией» и эксплуатацией, другие готовы дать согласие, если это поможет близким.