Во многих интернет-дневниках на различных блог-сервисах 21 июля, без ведома владельцев дневников, появились записи, содержащие сочетание символов 9c951267. Причиной тому стала XSS уязвимость на сайте BestPersons.ru, о которой в своём блоге на habrahabr сообщил некто Romancer.
BestPersons.ru – проект, позволяющий объединить популярные социальные сети. Его пользователям предоставлялась возможность читать объединенную ленту друзей, зарегистрированных на разных сайтах, и публиковать записи сразу в несколько своих блогах, используя единый интерфейс. С этой целью пользователи должны были указать пароли к своим учетным записям на сторонних сайтах.
Обнаруженная уязвимость позволяла злоумышленнику выполнить произвольный код сценария и HTML код в браузере жертвы в контексте безопасности сайта BestPersons.ru. Таким образом, злоумышленник мог заманить пользователя на специально сформированную страницу и получить полный доступ к его учетной записи на сайте.
Несмотря на объяснение Romanser'a администрация проекта утверждает, что пароли пользователей bestpersons к сторонним ресурсам защищены и украдены не были.