Facebook выплатил русскому пользователю 40 тысяч долларов за обнаружение уязвимости

Российскому программисту Андрею Леонову удалось выявить опасный баг, который позволяет производить атаки на Facebook.

По словам самого эксперта по информационной безопасности, осенью 2016 он занимался тестированием некоего ресурса, который перенаправил его на Facebook. Леонов обнаружил в программном обеспечении социальной сети уязвимость, которая дает возможность запускать на серверах компании произвольный код. В качестве «точки входа» был использован крупный баг в сервисе ускоренного масштабирования и конвертации изображений ImageMagick, который используется не только Facebook, но и другими интернет-сервисами.

Напомним, что этот баг, который по аналогии с названием ImageMagick, эксперты прозвали ироничным словосочетанием ImageTragick, был обнаружен ещё в апреле 2016. Эта ошибка позволяла запуск произвольного кода на удаленном сервере с помощью загрузки специально подготовленного изображения. И хотя предполагалось, что ошибка была исправлена ещё весной, Андрей Леонов обнаружил, что социальная сеть по-прежнему содержит эту уязвимость. В октябре прошлого года программист предоставил всю необходимую техническую информацию IT-специалистам Facebook.

Уже через три дня уязвимость со стороны социальной сети была устранена. Что касается информационного продукта ImageMagick, его разработчики оперативно выпустили новые версии сервиса, тем самым исправив существующий баг. Андрей Леонов во всех подробностях рассказал о ходе своих исследований на личном сайте, однако, по с договоренности с Facebook,он не выложил исходный код, позволивший ему проникнуть на серверы компании.

Стоит отметить, что сумма в сорок тысяч долларов, выплаченная российскому эксперту по безопасности за нахождение бага, стала рекордной для Facebook. До этого момента крупнейшим разовым вознаграждением за нахождение уязвимостей было тридцать три с половиной тысячи долларов, которые получил бразильский IT-эксперт Реджинальдо Сильва в 2014 году.