Социальная сеть Facebook выплатила российскому хакеру Андрею Леонову рекордный гонорар. Он получил от Facebook рекордное вознаграждение в $40 тыс, сообщив техническим службам соцсети информацию о найденной им серьезной уязвимости. Об этом специалист по безопасности написал в личном блоге.
Леонов случайно наткнулся на ошибку во время тестирования стороннего сервиса, изучил ее и представил всю необходимую информацию техническим службам Facebook, которые устранили уязвимость в ноябре 2016 года. В итоге соцсеть выплатила хакеру вознаграждение в 40 тысяч долларов.
Россиянин обнаружил в программном обеспечении ошибку, которая с помощью специальной картинки позволяла запускать на серверах произвольный код. Для этого необходимо было воспользоваться уязвимостью в сервисе ImageMagick, предназначенном для быстрого масштабирования и конвертации изображений в новостной ленте Facebook.
О самой уязвимости стало известно в мае прошлого года, и большинство сайтов предприняли меры для защиты от нее. Леонов случайно наткнулся на ошибку в октябре прошлого года во время тестирования стороннего сервиса, изучил ее и представил всю необходимую информацию техническим службам соцсети. Спустя два дня после того, как он сообщил о своей находке в Facebook, компания устранила уязвимость, а спустя еще десять дней перечислила Леонову $40 тыс.
Эта сумма является рекордной для программы поощрения тех, кто помогает искать и устранять баги и уязвимости в Facebook. В 2014 г. поощрение в размере $33 500 получил от компании бразильский программист Реджинальдо Сильва, нашедший способ удаленно считывать любые файлы (включая файл с паролями системного администратора) на веб-сервере, а также исполнять произвольный код.
С 2015 г. Андрей Леонов работает специалистом по безопасности в компании SEMrush. Он также является активным пользователем блог-платформы для хакеров Hackerone.