Российский хакер получил рекордные $40 тысяч за взлом Facebook

Facebook выплатил российскому программисту Андрею Леонову рекордный гонорар за найденную уязвимость – $40 тысяч, пишет Fortune.

Уязвимость позволяла взломщику выполнять произвольный код на серверах сети. По словам Леонова, он обнаружил брешь случайно. Программист тестировал работу крупного сервиса. В процессе работы появилось всплывающее окно «Поделиться на Facebook», через которое он попал на сайт соцсети. Однако по непонятным причинам картинка корректно не отображалось.

Разбираясь с этой проблемой, Леонов обнаружил, что Facebook был восприимчив к «удалённому выполнению кода» через уязвимость в ImageMagick, популярном инструменте для редактирования фотографий. Соцсеть использовала библиотеку ImageMagick в своём фотоконвертере.

Ошибка позволяла хакерам скрывать вредоносный код в файлах изображений, которые они добавляли на сайт. Изначально она была обнаружена в апреле 2016 года и привела к взлому большого количества сайтов, использующих ImageMagick. Специалисты Facebook попытались устранить баг в прошлом году, но Леонов обнаружил, что может обойти установленную защиту.

Чтобы закрыть уязвимость, программисты Facebook добавили правила в брандмауэр веб-приложений – инструмент, который фильтрует и блокирует интернет-трафик. Однако эта мера не смогла обеспечить должную защиту.

Программист сообщил об ошибке в Facebook 16 октября 2016 года. В течение трёх дней специалисты соцсети закрыли брешь. В начале ноября компания выплатила награду Леонову.

«Я рад быть одним из тех, кто взломал Facebook», - написал он в своём блоге.

Андрей Леонов с 2015 года работает специалистом по безопасности в компании SEMrush. Он также является активным пользователем блог-платформы для хакеров Hackerone.

Представители Facebook подтвердили Fortune, что выплата Андрею Леонову оказалась самой большой за всё время существования программы по поиску уязвимостей. Ранее самой крупной считалась награда, которая была выдана бразильскому программисту Режинальдо Сильве. В январе 2014 года он получил $33 тысячи.

Напомним, что за последние пять лет Facebook выплатил хакерам более $5 млн за найденные уязвимости. Вознаграждения получили более 900 человек.

subscribe

Подпишитесь на рассылку SearchEngines

— Статьи мировых экспертов

— Аналитические обзоры

— Важные новости

— Горячие темы с нашего форума

preview Китай усилил контроль над VPN-сервисами

Китай усилил контроль над VPN-сервисами

Власти Китая решили усилить контроль за деятельностью VPN-сервисов, позволяющих получить доступ к интернет-сайтам в обход «Золотого щита»...
preview Facebook ищет способ смягчить влияние фейковых новостей

Facebook ищет способ смягчить влияние фейковых новостей

Facebook ищет способ смягчить влияние фейковых новостей в том случае, когда они уже распространились среди пользователей
preview Показатель кликабельности рекламы на Facebook вырос на 42%

Показатель кликабельности рекламы на Facebook вырос на 42%

По данным Nanigans, в четвёртом квартале 2016 года глобальный CTR рекламы на Facebook вырос на 42% в годовом сравнении
preview Количество платных подписчиков Яндекс.Музыки превысило 250 тысяч

Количество платных подписчиков Яндекс.Музыки превысило 250 тысяч

Количество платных подписчиков сервиса Яндекс.Музыка и музыкальных приложений на его основе по итогам 2016 года превысило 250 тысяч человек
preview Facebook построит новый дата-центр в Дании

Facebook построит новый дата-центр в Дании

Facebook построит новый дата-центр в датском городе Оденс. Он станет третьим по счёту центром обработки данных компании за пределами США...
preview Pinterest добавил в рекламные кампании группы объявлений

Pinterest добавил в рекламные кампании группы объявлений

Pinterest продолжает улучшать свой рекламный продукт. Последним нововведением в этой области стало добавление в кампании групп объявлений