Facebook выплатил российскому программисту Андрею Леонову рекордный гонорар за найденную уязвимость – $40 тысяч, пишет Fortune.
Уязвимость позволяла взломщику выполнять произвольный код на серверах сети. По словам Леонова, он обнаружил брешь случайно. Программист тестировал работу крупного сервиса. В процессе работы появилось всплывающее окно «Поделиться на Facebook», через которое он попал на сайт соцсети. Однако по непонятным причинам картинка корректно не отображалось.
Разбираясь с этой проблемой, Леонов обнаружил, что Facebook был восприимчив к «удалённому выполнению кода» через уязвимость в ImageMagick, популярном инструменте для редактирования фотографий. Соцсеть использовала библиотеку ImageMagick в своём фотоконвертере.
Ошибка позволяла хакерам скрывать вредоносный код в файлах изображений, которые они добавляли на сайт. Изначально она была обнаружена в апреле 2016 года и привела к взлому большого количества сайтов, использующих ImageMagick. Специалисты Facebook попытались устранить баг в прошлом году, но Леонов обнаружил, что может обойти установленную защиту.
Чтобы закрыть уязвимость, программисты Facebook добавили правила в брандмауэр веб-приложений – инструмент, который фильтрует и блокирует интернет-трафик. Однако эта мера не смогла обеспечить должную защиту.
Программист сообщил об ошибке в Facebook 16 октября 2016 года. В течение трёх дней специалисты соцсети закрыли брешь. В начале ноября компания выплатила награду Леонову.
«Я рад быть одним из тех, кто взломал Facebook», - написал он в своём блоге.Андрей Леонов с 2015 года работает специалистом по безопасности в компании SEMrush. Он также является активным пользователем блог-платформы для хакеров Hackerone.
Представители Facebook подтвердили Fortune, что выплата Андрею Леонову оказалась самой большой за всё время существования программы по поиску уязвимостей. Ранее самой крупной считалась награда, которая была выдана бразильскому программисту Режинальдо Сильве. В январе 2014 года он получил $33 тысячи.
Напомним, что за последние пять лет Facebook выплатил хакерам более $5 млн за найденные уязвимости. Вознаграждения получили более 900 человек.
