Социальная сеть Facebook выплатила российскому эксперту Андрею Леонову, занимающему должность директора по безопасности в международной маркетингово-аналитической компании SEMrush, рекордные 40 тысяч долларов за обнаружение критической уязвимости, сообщает CNews. Вознаграждение было выплачено осенью прошлого года, однако известно об этом стало только сейчас.
Как поясняет издание, Леонов нашел в соцсети баг, позволяющий запускать на серверах Facebook произвольный код, загружая специальное изображение. Для этого необходимо было использовать обнаруженную в апреле 2016 года серьезную уязвимость в сервисе ImageMagick, предназначенном для быстрого масштабирования и конвертации изображений. Эта уязвимость была закрыта разработчиками ImageMagick в мае, однако сохранилась в ряде использующих ImageMagick веб-сервисов.
Как написал Леонов в своем блоге, в октябре прошлого года он тестировал некий ресурс, который перенаправил его на Facebook. В итоге обнаружилось, что серверы Facebook по-прежнему содержали уязвимость ImageTragick.
16 октября Леонов уведомил специалистов Facebook о найденной уязвимости и переслал им всю необходимую информацию. Через три дня дыра в безопасности соцсети была закрыта, а 4 ноября Facebook выплатила Леонову вознаграждение. В середине декабря представители соцсети одобрили разглашение информации об этом случае.
Отметим, что предыдущий рекорд премии от Facebook принадлежал специалисту по кибербезопасности Реджинальдо Сильве, которому соцсеть заплатила 33,5 тысячи долларов в 2014 году.