Мирный российский хакер взломал Facebook и получил гонорар 40 тысяч долларов

Эксперт по кибербезопасности Андрей Леонов, которому соцсеть Facebook заплатила 40 тысяч долларов за найденную уязвимость, считает себя мирным хакером.

Он рассказал, как заработал рекордный гонорар. Леонов обратил внимание, что функция «расшарить новость на Facebook» берет заглавное изображение новости со сторонних серверов. Выяснилось, что ни сам Facebook, ни тем более библиотека ImageMagick при этом не проверяли, действительно ли загруженный файл есть изображение формата JPEG или что-то другое. Андрей протестировал эту функцию: уязвимость заключалась в том, что Facebook обрабатывал, как он считает, картинку, которой человек может управлять и содержание которой может изменять. Согласно классификации международного консорциума безопасности OWASP такая уязвимость имеет самый высокий рейтинг. Опасность ее зависит от того, где исполняется этот код. Леонов связался с технической поддержкой Facebook, и ошибку исправили в ноябре 2016 года.

До ситуации с Леоновым самым большим гонораром от Цукерберга были 33,5 тыс. долларов, которые в 2014 году получил бразильский исследователь безопасности Реджинальдо Сильва, напоминает «Газета. ру». По словам Андрея, после того как он нашел уязвимость в Facebook, на него не посыпались предложения работы или заказы. В интервью RT Леонов признался, что не верит ни в особую русскую школу, ни в русский почерк: есть просто умные ребята, которые много где рождаются. А уязвимости возможны везде.