Facebook заплатил рекордную премию российскому хакеру

 Facebook заплатил рекордную премию российскому хакеру

Российский программист Андрей Леонов нашёл в социальной сети Facebook уязвимость, позволяющую выполнять вредоносный код на сервере компании. Об этом со ссылкой на сайт программиста пишет «Медуза».

Андрей Леонов нашёл ошибку в обработке фотографий на сервере Facebook. Для уменьшения объёма изображений компания использует библиотеку ImageMagick. Когда пользователь делится ссылкой, соцсеть автоматически забирает с этой страницы картинку к публикации. При загрузке файла библиотека проверяет, что это за картинка — JPG, GIF или PNG. Обычно тип файла проверяется по первым байтам файла. Это позволяет злоумышленникам замаскировать файл со своим кодом под картинку: достаточно подставить правильные первые байты JPG или GIF.

Леонов создал такой замаскированный файл и разместил его у себя на сайте. Когда он поделился страницей через Facebook, сервер забрал этот файл и выполнил код из него. В октябре 2016 года Леонов сообщил о своей находке в Facebook. После проверки сообщения сотрудниками соцсети ему выплатили награду.

За сообщение об ошибке ему заплатили 40 тысяч долларов. Это рекордная награда за обнаруженную уязвимость. 

Агентство новостей «Между строк»