Соцсеть Facebook выплатила крупнейшее в истории вознаграждение в рамках своей программы по оплате эксклюзивной информацию об уязвимостях собственных сервисов. Интересно, что деньги достались русскому хакеру. Программист и специалист в области кибер-безопасности из РФ Андрей Леонов получил за найденную уязвимость рекордный гонорар в размере $40 тыс.
Уязвимость, позволяющаяся осуществлять удаленное выполнение кода, была обнаружена в сервисе с открытыми исходниками ImageMagick, используемом Facebook для обработки контента: конвертации и масштабирования изображений в новостной ленте.
Интересно, что уязвимость сервиса ImageMagick обнаружилась еще прошлой весной, после чего команда безопасности Facebook попыталась создать "заплатку". Для того чтобы избавиться от эксплойта, инженеры Facebook просто добавили дополнительные правила в свой файервол веб-приложений – инструмент, который отслеживает, фильтрует, а также блокирует интернет-трафик.
Но Леонов нашел способ обойти эту "заплатку". Он разработал способ обойти защиту файервола с помощью собственноручно написанного кода. Затем программист сообщил о проблеме Facebook. Произошло это 16 октября прошлого года. После тщательного анализа проблемы специалисты соцсети согласились вознаградить россиянина за проделанную работу.
Если в вас дремлет хакерский талант, и вы хотите легально заработать с его помощью не меньше Леонова, помните, что программы по предоставлению вознаграждения за информацию об уязвимостях своих продуктов запустили многие другие крупные интернет-компании вроде Microsoft, Google, Uber и Apple. Даже Министерство обороны США запустило подобную программу, но предложениям о сотрудничестве от русских хакеров там вряд ли обрадуются в свете последних событий.