Навеяно этим недавним постом: http://autokadabra.ru/shouts/49359, и до этого серией моих постов на ту же тему. Я задался вопросом: если это не разработчики автокадабры, то может быть кто-то эксплуатирует какую-то уязвимость в автокадабре в своих корыстных целях? Стал искать. Сначала я исключил самый простой вариант, когда подписка выполняется методом GET (либо выполняется методом POST, но сервер принимает так же и GET). Тогда бы подписка на клуб могла производиться путем вставки в пост или в комментарий картинки с хитрым URL. Картинка бы всё равно бы не отобразилась и никто бы ничего не заметил. Но, к счастью, разработчики от этой уязвимости защитились. По крайней мере у меня не получилось подписать себя таким способом.

Тогда я попробовал другой вариант посложнее и требующий небольшого социального инжениринга (пользователь должен кликнуть по ссылке). И этот способ у меня сработал. Разработчики не сделали от него защиту. Продемонстрирую на примере...

Предположим, я кидаю вам вот такую ссылку со словами:

Смотрите какое прикольное видео http://bit.ly/Lwww4G -- собака сзади толкает тележку с человеком.

Вы кликаете по этой ссылке, вас несколько раз редиректит, в итоге вы попадаете на страницу YouTube с нужным роликом, но при этом вы оказываетесь подписаны на мой недавно созданный клуб "Быдло-тюнинг", который на данный момент испытывает дефицит подписчиков (на текущий момент их всего 8, считая меня). Но заметили бы вы это, если бы я об этом не сказал?

Я не уверен, но может быть примерно таким способом люди время от времени с удивлением обнаруживают, что они подписаны на клубы, на которые не подписывались?