Российский ИБ-специалист получил рекордную награду за обнаруженную ошибку в сервисе Facebook

23.01.2017

Facebook выплатила 40 тысяч долларов вознаграждения эксперту по информационной безопасности из Санкт-Петербурга. Это наибольшая сумма, которую получали ответственные пользователи за обнаруженные в программном обеспечении социальной сети уязвимости.

Найденная россиянином ошибка позволяла исполнять произвольный программный код на принадлежащих Facebook серверах. «Точкой входа» служила уязвимость в сервисе ImageMagick, который служит для быстрого масштабирования и конвертации изображений. Уязвимость получила название ImageTragick, или «Трагикартинка».

Андрей Леонов выявил критическую уязвимость еще в октябре 2016 года. Однако, следуя процедуре раскрытия инцидентов, действующей в Facebook, сообщил подробности в своем блоге (на английском языке) и на Хабрахабре только в январе 2017 года.

«Грубо говоря, если бы это было исполнение кода на сервере, который полностью изолирован от инфраструктуры компании, то это была бы одна степень опасности, а если это дает доступ, например, к базе данных пользователей, то уровень, сами понимаете, совсем другой. Это и влияет на размер выплаты», — приводит РБК объяснение специалиста.

Андрей Леонов рассказал журналистам, что занимается компьютерной безопасностью почти 10 лет, и за это время не раз выявлял слабые места в различных сервисах. Обнаружение ошибки в крупнейшей социальной сети он сравнил с выигрышем в лотерею.