Российский "хакер" заработал на взломе Facebook рекордную сумму
Сообщается, что американский Фейсбук заплатил российскому гражданину Андрею Леонову 40 000 долларов США за обнаруженную им уязвимость в утилите для ускоренного масштабирования и конвертации фотоснимков.
Как заявляет сам Леонов, который является программистом, данную уязвимость он можно сказать, обнаружил практически случайно, осенью прошлого года, когда тестировал стороннее приложение. И сначала он буквально не поверил своим глазам, увидев эту дыру в Фейсбуке, но убедившись повторно, что ошибки никакой нет, он сообщил об этом в саму социальную сеть. И вот буквально через 12 дней представители Фейсбука связались с ним по обратной связи и подтвердили, что они перепроверили его данные и всё так и есть: - уязвимость существует и сейчас они работают над её устранением. А в качестве награды за оказанную помощь, Фейсбук предложил Андрею вознаграждение в размере 40 000 долларов США, от которых Леонов, конечно, не отказался.
Позже в своем блоге Андрей решил пошутить над тем, что произошло и написал: "Я буквально счастлив, что стал одним из тех, кто сумел-таки взломать социальную сеть Фейсбук!"
В целом проблема кроется в библиотеке ИмиджМеджик (ImageMagick), которая отвечает за обработку фотоснимков (выполняет их ускоренное масштабирование и конвертацию) на серверах компании Фейсбук. Используется именно эта библиотека, когда клиент сервиса размещает проиллюстрированную ссылку на своей ленте в социальной сети, ну а затем фотоизображение оформляется в самом посте.
Если описывать саму найденную уязвимость, то чтобы проверить формат представленного файла, библиотека ИмиджМеджик проверяет лишь первые поступающие байты данных, и если файл реальный, то этого вполне хватает для распознания формата, будь то форматы jpg. gif или png. Но в свою очередь, реальные хакеры в состоянии перехитрить эту систему и для этого нужно лишь выставить перед вредоносным кодом частичный код любого фотоизображения и система будет обманута. Именно таким вот образом и поступил Андрей, когда осенью 2016 года он тестировал одно из приложений, а сервер Фейсбука признал фотоснимком созданный им файл, пропустил его и сгенерировал из него код.
Но все хорошо, что хорошо кончается. Ныне Фейсбук устранил эту проблему, а Андрей получил заслуженное вознаграждение за своё упорство и честность. Правда Андрей пока не сообщил интернет-сообществу, как он планирует потратить полученные им деньги, но наверняка они пойдут на полезное дело.
Также можно еще напомнить, что Андрей побил предыдущий рекорд выплат Фейсбука за нахождение уязвимости в его системе, когда два года назад некто Реджинальдо Сильва, работающий специалистом по кибербеопасности получил от компании на свой счет 33 500 долларов США.
Специально для mmgp
https://text.ru/antiplagiat/588275f89fb36