Facebook выплатил русскому хакеру рекордную сумму за обнаружение «бага»

Софт Безопасность Бизнес Интернет
мобильная версия
, Текст: Роман Георгиев

Российский хакер Андрей Леонов выявил опасную уязвимость в сервисе ImageMagick, которая позволяет производить атаки на Facebook. В качестве вознаграждения Facebook выплатил Леонову рекордную сумму — $40 тыс.


Рекордная выплата за «баг»

Facebook выплатил российскому эксперту по безопасности Андрею Леонову (ник 4lemon) рекордную в своей истории наградную сумму за обнаружение критической уязвимости в размере $40 тыс. До сих пор крупнейшим разовым вознаграждением за нахождение «багов» для Facebook было $33,5 тыс., которые в 2014 г. получил «охотник за уязвимостями» Реджинальдо Сильва (Reginaldo Silva).

Леонов обнаружил в ПО соцсети «баг», который позволяет запускать на серверах Facebook произвольный код. В качестве «точки входа» использовалась серьезная уязвимость в сервисе ImageMagick, который предназначен для быстрого масштабирования и конвертации изображений (не только в Facebook, но и множестве других веб-сервисов).

На личной странице Леонова в Facebook указано, что с августа 2015 г. по настоящее время он работает директором по безопасности в международной маркетингово-аналитической компании SEMrush в Санкт-Петербурге.

История вопроса

Серьезная уязвимость в ImageMagick, которую эксперты обозвали ImageTragick, обнаружилась в апреле 2016 г. «Баг» в декодере ImageMagick допускал инициацию произвольного кода на удаленном сервере — для этого достаточно было просто загрузить на сервер специально подготовленное изображение. Чрезвычайная популярность ImageMagick привела к тому, что уязвимой оказалась огромная часть веб-сервисов во всем мире. Моментально начали плодиться эксплойты для этого «бага».

Россиянин Андрей Леонов получил от Facebook $40 тыс. за обнаружение критической уязвимости

К чести разработчиков ImageMagick, они довольно оперативно выпустили новые версии, исправив уязвимость на своей стороне. Но усилия потребовались и со стороны владельцев веб-сервисов, использующих ImageMagick.

Тайный эксплойт

По словам Андрея Леонова, осенью 2016 г. он тестировал некий ресурс, который перенаправил его на Facebook. В итоге обнаружилось, что серверы Facebook по-прежнему содержали уязвимость ImageTragick.

В октябре 2016 г. Леонов подготовил эксплойт и предоставил его и всю необходимую информацию техническим службам Facebook. Спустя три дня уязвимость устранили.

Леонов подробно описал результаты своих исследований на собственном сайте, однако, в соответствии с договоренностью с Facebook, код эксплойта он выкладывать не стал.