Facebook выплатила русскому хакеру рекордный гонорар

Россиянин Андрей Леонов получил от Facebook рекордное вознаграждение в $40 тыс, сообщив техническим службам соцсети информацию о найденной им серьезной уязвимости. Об этом специалист по безопасности написал в личном блоге.

Россиянин обнаружил в программном обеспечении ошибку, которая с помощью специальной картинки позволяла запускать на серверах произвольный код. Для этого необходимо было воспользоваться уязвимостью в сервисе ImageMagick, предназначенном для быстрого масштабирования и конвертации изображений в новостной ленте Facebook.

О самой уязвимости стало известно в мае прошлого года, и большинство сайтов предприняли меры для защиты от нее. Леонов случайно наткнулся на ошибку в октябре прошлого года во время тестирования стороннего сервиса, изучил ее и представил всю необходимую информацию техническим службам соцсети.

Спустя два дня после того, как он сообщил о своей находке в Facebook, компания устранила уязвимость, а спустя еще десять дней перечислила Леонову $40 тыс.

Эта сумма является рекордной для программы поощрения тех, кто помогает искать и устранять баги и уязвимости в Facebook. В 2014 г. поощрение в размере $33 500 получил от компании бразильский программист Реджинальдо Сильва, нашедший способ удаленно считывать любые файлы (включая файл с паролями системного администратора) на веб-сервере, а также исполнять произвольный код.

С 2015 г. Андрей Леонов работает специалистом по безопасности в компании SEMrush. Он также является активным пользователем блог-платформы для хакеров Hackerone.

Подробнее: https://www.vestifinance.ru/articles/80199

В хорошую сумму компания Facebook оценила уязвимость своей защиты. И Андрею Леонову повезло, наткнулся на ошибку, благодаря которой заработал 40 тыс. баксов.

40 тыс. копейки по-сравнению с тем ущербом, который может принести взлом Facebook.

Человек совсем не случайный, не с луны свалился. По сути заработал по своей основной специальности

Со стороны кажется, что он легко срубил 40к.
Однако найти такую тонкость может только профессионал, интересная уязвимость))

Так вот кто решил положительно вопрос с RT! Может какой наш хакер найдёт ещё дырки в Ю-тубе? А то они тоже пытаются отрубить RT!

Хоть сумма вроде как и рекордная, но как то слабо они оценили найденную дыру, тем более такую.

Сообщается, что американский Фейсбук заплатил российскому гражданину Андрею Леонову 40 000 долларов США за обнаруженную им уязвимость в утилите для ускоренного масштабирования и конвертации фотоснимков.

Как заявляет сам Леонов, который является программистом, данную уязвимость он можно сказать, обнаружил практически случайно, осенью прошлого года, когда тестировал стороннее приложение. И сначала он буквально не поверил своим глазам, увидев эту дыру в Фейсбуке, но убедившись повторно, что ошибки никакой нет, он сообщил об этом в саму социальную сеть. И вот буквально через 12 дней представители Фейсбука связались с ним по обратной связи и подтвердили, что они перепроверили его данные и всё так и есть: - уязвимость существует и сейчас они работают над её устранением. А в качестве награды за оказанную помощь, Фейсбук предложил Андрею вознаграждение в размере 40 000 долларов США, от которых Леонов, конечно, не отказался.

Позже в своем блоге Андрей решил пошутить над тем, что произошло и написал: "Я буквально счастлив, что стал одним из тех, кто сумел-таки взломать социальную сеть Фейсбук!"

В целом проблема кроется в библиотеке ИмиджМеджик (ImageMagick), которая отвечает за обработку фотоснимков (выполняет их ускоренное масштабирование и конвертацию) на серверах компании Фейсбук. Используется именно эта библиотека, когда клиент сервиса размещает проиллюстрированную ссылку на своей ленте в социальной сети, ну а затем фотоизображение оформляется в самом посте.

Если описывать саму найденную уязвимость, то чтобы проверить формат представленного файла, библиотека ИмиджМеджик проверяет лишь первые поступающие байты данных, и если файл реальный, то этого вполне хватает для распознания формата, будь то форматы jpg. gif или png. Но в свою очередь, реальные хакеры в состоянии перехитрить эту систему и для этого нужно лишь выставить перед вредоносным кодом частичный код любого фотоизображения и система будет обманута. Именно таким вот образом и поступил Андрей, когда осенью 2016 года он тестировал одно из приложений, а сервер Фейсбука признал фотоснимком созданный им файл, пропустил его и сгенерировал из него код.

Но все хорошо, что хорошо кончается. Ныне Фейсбук устранил эту проблему, а Андрей получил заслуженное вознаграждение за своё упорство и честность. Правда Андрей пока не сообщил интернет-сообществу, как он планирует потратить полученные им деньги, но наверняка они пойдут на полезное дело.

Также можно еще напомнить, что Андрей побил предыдущий рекорд выплат Фейсбука за нахождение уязвимости в его системе, когда два года назад некто Реджинальдо Сильва, работающий специалистом по кибербеопасности получил от компании на свой счет 33 500 долларов США.

Специально для mmgp

https://text.ru/antiplagiat/588275f89fb36

Опять виноваты русские))))) То в новостях показывают русское ТВ, то ещё что) Молодец парень,честно заработал!

Русские хакеры уязвимости в пентагоне находят, что им там какой-то фейсбук.

Доброго времени, друзья!

С интересом сообщаю вам, что администрация Facebook щедро отблагодарила российского программиста Андрея Леонова, выплатив ему рекордные $40 тыс за найденные им уязвимости, благодаря которым, взломщиком мог выполняться произвольный код на сервере соцсети. Об этом пишется Fortune, интересно что весь процесс обнаружения этих ошибок, был описан Леоновым в своём блоге.

Программист сообщил, что им был обнаружен сбой, когда он изучал методы обработки фотографий в Facebook. В соцсети используется сервис ImageMagick для уменьшения размеров изображений, на которых пользователи дают ссылки, а при загрузке на свой сервер проверяется только формат изображения — JPG, PNG или GIF, как написал Леонов. Типы файлов проверяются по первым байтам, что дает возможность под предлогом картинок маскировать любые другие файл, указал Леонов.

Андрей Леонов сообщил в Facebook относительно этой ошибке - еще 16 октября 2016 года, и уже 19 октября эту уязвимость устранили. А в начале ноября 2016 года Facebook выплатил награду программисту.

Представителями Facebook заявили Fortune, что вознаграждение Леонову оказалось самым большим за всё время, пока существовала программа вознаграждений за нахождение уязвимостей. Ранее самую крупную награду поучил бразильский программист Режиналдо Сильве, который нашел способы получить быстрый доступ к практически любому файлу на сервере соцсети. В 2014 году Сильве выплатили вознаграждение в $33 тыс.

Что думаете о вышеизложенном, друзья? Очень крутая и полезная идея у Facebook, относительно вознаграждений, за найденные уязвимости, как по мне! Жду ваших отзывов!

Специально для mmgp.ru
Автор Котенко Максим

Мне бы заплатили,что я у них сижу))))

Молодцы, в яндексе например никогда не заплатили бы такие деньги простому юзеру

Если отталкиваться от заявленной еще в 2013 году совместной с Майкрософт программе "Internet Bug Bounty program" вознаграждение предусматривалось от $300 до $5.000.В то время как Касперский в 2016 году заявил о программе "Bug Bounty" с наградой в $100000 за найденную уязвимость.А в 2015 году Гугл заявил о намерении заплатить премию от 333 до 8000 вечно зелеными за найденный баг в Андроиде.

Странно что facebook такое маленькое поощрение выдает. Может они ему работу предложили?

Не такое уж и маленькое вознаграждение. На годик неплохой жизни в России точно хватит. Да и такое сотрудничество выгодно всем

А вот если-бы вы были в администрации фэйсбук,какое вознаграждение выдали-бы вы?При том на постоянной основе,со специального фонда организованного для таких целей . Думаю что руководство компании регулярно обсуждает величину поощрительного фонда при распределении доходов компании.
Не думаю что это совсем ничего не значащие деньги даже по меркам США.Думаю что даже там на год не нищенского существования будет достаточно.

Ну это тонкая работа,профессионал точно на это способен.

мало для рекорда или фейсбука