Прошу принять срочные меры. У чувака скрипт, который дает доступ к изменениям в твоем аккаунте.

Только что получил сообщение от аккаунта:
http://klavogonki.ru/u/#/709271/
-----------------
"Здравствуйте! Знаете, наверно, что в последнее время множеству пользователей рассылается спам. В этом видео я объясняю подробнее и разоблачаю главных виновников: hٜttps://youtube.com/watch?v=4Q4sNBpvDd0 Рекомендую посмотреть, чтобы суметь защитить себя в случае дальнейших действий злоумышленников.
------------------------

Каюсь, что и не удержался..., щелкнул на ссылку.
Ссылка привела на якобы пустую страницу... что сразу же насторожило (мысленно ругнулся на себя)
Одновременно с этим щелчком с меня сняли 5000 очков.
А так же:
Изменилось БИО (вписалась всякая хрень про администрацию)
И появилась вместо моей - порно-аватарка.

После чего навел мышкой на якобы youtube ссылку, и увидел, что это javascipt.

Доступа к аккаунту нет. Пароль не взламывается. Это технология "вредоносная ссылка". В сообщение вставляется вредоносное "изображение", содержащее исполняемый код.

Вредоносная ссылка позволяет выполнять лишь ограниченный объём действий. Да, вредоносная ссылка действительно позволяет выполнять те действия, которые указаны, но это не полный доступ к аккаунту.

См. также справочную страницу "Спам".

Способ защиты: зайти в настройки - https://klavogonki.ru/profile/621009/prefs (доступно владельцу), ограничить приём спама.

Зато это хорошая тренировка не открывать всякую незнакомую хрень. Так же надо поступать и с почтой. Так хакают множество сайтов...

Начало java script выглядит так:
{let changeavatar = new XMLHttpRequest(); changeavatar.open("POST", location.protocol.substr(0,location.protocol.indexOf(':'))+"://klavogonki.ru/api/profile/set-avatar"); changeavatar.setRequestHeader("Accept", "application/json");
(столько поместилось в строке)
Разумеется теперь буду осторожнее, вы тоже там аккуратнее ))
Ну а сообщения только от друзей - эт понятное дело, ограничит от подобных сообщений.