Facebook заплатил российскому хакеру 40 тыс. долларов за взлом

Российский хакер, специалист по безопасности в компании SEMrush Андрей Леонов обнаружил в программном коде «баг», который позволяет запускать на серверах Facebook произвольный код. Леонов в своем блоге рассказал, что библиотека ImageMagick, отвечающая за обработку фотографий (быстрое масштабирование и конвертация) на сервер Facebook, проверяла только первые байты для выявления формата изображения. Если файл настоящий, то этого достаточно, чтобы понять формат - JPG, GIF или PNG.

Но систему можно легко обойти, просто выставив перед вредоносным кодом часть кода какой-либо картинки. С его помощью злоумышленники могут получить доступ к данным пользователя. Леонов продемонстрировал это специалистам Facebook. В итоге сервер соцсети признал картинкой, созданный им файл и, ничего не заметив, выполнил код из него.

За эту уязвимость компания заплатила ему 40 тыс. долларов, признав, что этот «баг» действительно существует. Данная награда стала рекордной от Facebook, так как до этого рекордом была сумма в 33, 5 тыс. долларов, которые Facebook выплатил бразильскому специалисту по кибербезопасности Реджинальдо Сильва в 2014 году.

«Я рад быть одним из тех, кто взломал Facebook», - пошутил российский хакер в своей записи.

Напомним, в прошлом году специалисты по информационной безопасности, группа LeakedSource, сообщила о взломе 412 млн аккаунтов пользователей одного из крупнейших сайтов знакомств AdultFriendFinder и других сайтов, принадлежащих компании. Логины и пароли пользователей сайтов знакомств были выложены в открытом доступе. Этот взлом стал крупнейшим в 2016 году.