Социальная сеть Facebook выплатила российскому хакеру Андрею Леонову рекордный гонорар за найденную уязвимость. Об этом Леонов сообщил в своем блоге.
Россиянин обнаружил в программном обеспечении соцсети ошибку, которая с помощью специальной картинки позволяла запускать на ее серверах произвольный код. Для этого необходимо было воспользоваться уязвимостью в утилите ImageMagick, предназначенном для быстрого масштабирования и конвертации изображений в новостной ленте Facebook.
Леонов случайно наткнулся на ошибку во время тестирования стороннего сервиса, изучил ее и представил всю необходимую информацию техническим службам Facebook, которые устранили уязвимость в ноябре 2016 года. В итоге соцсеть выплатила хакеру вознаграждение в 40 тысяч долларов. В 2014 году рекордную сумму в 33,5 тысяч долларов получил от Facebook специалист по кибербезопасности Реджинальдо Сильва (Reginaldo Silva).
С 2015 года Андрей Леонов работает специалистом по безопасности в компании SEMrush. Он также является активным пользователем блог-платформы для хакеров Hackerone.
Комментирование разрешено только первые 24 часа.
1 +0−0 | №-1959498 | 11:06:26 20/01/2017 |
Такие крутые мозги есть в России, но всё равно покупаем всё иностранное. |
1 +0−0 | №-1863677 | 11:01:34 20/01/2017 | ||||||
| ||||||||
очередной тёмный, завистливый и озлобленный человечек, чей корень проблем в его невежестве и кому проще жить в вымышленном мире |
1 +0−0 | Nikita S | 10:56:50 20/01/2017 | ||||||
| ||||||||
И подпись "Wanted 10 000$!" |
1 +0−0 | O B | 10:56:38 20/01/2017 | ||||||
| ||||||||
завидуешь чтоль? |
1 +0−0 | Давид Амирханов | 10:54:42 20/01/2017 |
Уедет в загнивший пиндостан, гонорар получил, деньги есть, осталось свалить, оставив позади путэнский несъедобный путриотизм |
1 +0−0 | Олег Дорофеев | 10:52:55 20/01/2017 | ||||||
| ||||||||
случайно твой папа кончил в какую-то женщину... |
1 +0−0 | Прохожий 15 | 10:49:19 20/01/2017 |
Ну теперь пипец.. Русские хакеры зарабатывают на взломе а затем продаже.. Это сколько уязвимостей он на следующий год приберег |
0 +0−0 | Миша Фолдер | 15:24:45 20/01/2017 | ||||||
| ||||||||
Дебилов, которые даже бесплатные библиотеки, написанные кем-то, не могут ровно прикрутить, не наделав дыр... Тотальная деградация. Какие два месяца? Десяток лет уже картинки масштабируют на серверах... Это всё известно уже десяток лет. |
0 +0−0 | Миша Фолдер | 15:21:13 20/01/2017 | ||||||
| ||||||||
ImageMagic - это просто инструмент масштабирования картинки на сервере... Дыра же заключается в самой реализации этого инструмента... Если у себя в проекте реализуешь с конфигурированием её работы на клиенте, к примеру, когда размеры получаемых картинок задаются в хтмл-коде, с последующей передачей параметров, которые станут в итоге частями исполняемого серверного кода, сам своими руками создаёшь дырищу, что успешно и проделали рукожопые прогеры фб... И с GD такое же можно проделать, если мозгов нет. Отсюда можно сделать вывод, что прогеры фб - совершенно безмозглые бездари. А руководство, которое допускает подобное, и раздаёт такие поощрения за подобные косяки своих сотрудников, тоже не блещет интеллектом. Яркий пример того, что в гугл, фб, яндекс, и прочие солидные компании, с их системами приёма сотрудников на работу, нанимают дебилов, а не нормальных программистов. |
0 +0−0 | Дима Ильин | 12:43:49 20/01/2017 | ||||||
| ||||||||
Заценим... Но мне главное - отзывы и рейтинги смесителей на яндекс.маркете и интернет-магазинах. |
0 +0−0 | Елена Котова | 12:43:12 20/01/2017 | ||||||
| ||||||||
))) ну всё, хватит уже смешить :) |
0 +0−0 | Mac Bond | 12:40:52 20/01/2017 | ||||||
| ||||||||
сéрверы |
0 +0−0 | Дима Ильин | 12:40:09 20/01/2017 | ||||||
| ||||||||
Поднимай народ! Митинг! |
0 +0−0 | Мэлс Босяткович | 12:36:56 20/01/2017 | ||||||
| ||||||||
Это точно, чистая любовь, не затуманенная никакими страстями |
0 +0−0 | Елена Котова | 12:24:32 20/01/2017 | ||||||
| ||||||||
зато у них может любовь настоящая ) |
0 +0−0 | Михаил Гладилин | 12:24:08 20/01/2017 |
ваще странно. про дыру в Imagemagic уже месяца два как писали. и дыру эту уже зашили. и давно.. это выходит фб свои сервера попросту не обновляет? ну и дела.. |
0 +0−0 | Миша Фолдер | 12:15:16 20/01/2017 | ||||||
| ||||||||
Да уж... Идиоты. |
0 +0−0 | Миша Фолдер | 12:10:10 20/01/2017 | ||||||
| ||||||||
Эти уязвимости находят регулярно много где, но тут всё с деньгами, новостью, и фоткой героя... Охренеть. Новость скорее про то, какие программисты фб тупые, и какое руководство тупое. |
0 +0−0 | Миша Фолдер | 12:06:25 20/01/2017 |
Ну заплатили, и заплатили... Не понятно за что... Сама подобная уязвимость говорит о рукожопости программистов фб... Видимо, у них эти деньги и вычли из зарплат. Уязвимость эта создаётся программистами своими руками, когда конфигурирование масштабирования картинок перекладывают на клиентскую часть, максимально упрощая код. Распространённая херня, с помощью которой можно содержимое сервера превратить в фарш... |
0 +0−0 | Gunn Russ | 12:05:09 20/01/2017 | ||||||
| ||||||||
Михаил ковин ты тупая сволочь! |