Компания Facebook отблагодарила российского программиста за уязвимость, найденную им в ведущей мировой социальной сети, и выплатила ему в качестве вознаграждения в размере 40000 долларов. Выявленная разработчиком «дыра» позволяла выполнять на сервере популярнейшего во всем мире ресурса любой программный код.
Российский программист Андрей Леонов получил от ведущей мировой социальной сети вознаграждение в размере 40000 долларов. Эта сумма была выплачена разработчику за серьезную «дыру», найденную им в системе безопасности Facebook. Как пояснил сам Леонов, воспользовавшись ей, злоумышленники могли бы выполнять на серверах социальной сети любой программный код.
Программист рассказал, что обнаружил данную «дыру» совершенно случайно. Во время тестирования модуля для авторизации во всплывающем окне «Поделиться через Facebook» почему-то не отображалась картинка.
Решая возникшую проблему, разработчик выяснил, что система безопасности ведущей мировой социальной сети «восприимчива» к удаленному выполнению программного кода через уязвимость, которую он обнаружил в ImageMagick.
Эта библиотека применяется в работе одноименного инструмента для редактирования фотографий. Компания Facebook использовала ее в качестве основы для развертывания собственного фоторедактора, интегрированного в ведущую мировую социальную сеть.
Андрей Леонов пояснил, что с помощью найденной им уязвимости злоумышленники могли скрывать вредоносный программный код в файлах изображений, которые затем беспрепятственно загружались в Facebook.
Также стоит отметить, что данная «дыра» была обнаружена хакерами еще весной прошлого года. Воспользовавшись ей, злоумышленники смогли взломать множество онлайн-сервисов, использующих библиотеку ImageMagick.
Устранить данный баг специалисты ведущей мировой социалки пытались еще в 2016 году. Однако Андрей Леонов смог обойти установленную ими защиту.
Для создания программной «заплатки» программисты Facebook добавили специальное правило в брандмауэр приложений. Он осуществляет отсеивание и блокировку подозрительного интернет-трафика. Но, как оказалось, это не дало стопроцентного результата, и решило имеющуюся проблему лишь частично.
Российский программист сообщил в Facebook о найденной им уязвимости в октябре прошлого года. Специалистам ведущей мировой социальной сети потребовалось около 3 дней, чтобы полностью ликвидировать обнаруженную «дыру».
В начале ноября прошлого года Андрей Леонов получил от Facebook вознаграждение в размере 40000 долларов. Представители ведущей мировой социальной сети подтвердили, что эта сумма является самым большим выплаченным вознаграждением за все время существования проекта по поиску уязвимостей.