January 20th, 2017

Честный хакер

Социальная сеть Facebook выплатила российскому хакеру Андрею Леонову рекордный гонорар за найденную уязвимость. Об этом Леонов сообщил в своем блоге.

Россиянин обнаружил в программном обеспечении соцсети ошибку, которая с помощью специальной картинки позволяла запускать на ее серверах произвольный код. Для этого необходимо было воспользоваться уязвимостью в сервисе ImageMagick, предназначенном для быстрого масштабирования и конвертации изображений в новостной ленте Facebook.

Леонов случайно наткнулся на ошибку во время тестирования стороннего сервиса, изучил ее и представил всю необходимую информацию техническим службам Facebook, которые устранили уязвимость в ноябре 2016 года. В итоге соцсеть выплатила хакеру вознаграждение в 40 тысяч долларов. В 2014 году рекордную сумму в 33,5 тысяч долларов получил от Facebook специалист по кибербезопасности Реджинальдо Сильва (Reginaldo Silva).

С 2015 года Андрей Леонов работает специалистом по безопасности в компании SEMrush. Он также является активным пользователем блог-платформы для хакеров Hackerone.

https://lenta.ru/news/2017/01/20/thankshacker/

Отдал всё золото мира за 40 тыс. баксов. Возможность запускать произвольный код на серверах мордокниги - это, поистине, безграничные возможности для стремительного обогащения. Но и срок, в случае поимки - неиллюзорный. Я, как авантюрист, не отдал бы. :)
Но и мордокнига проявила верх скупердяйства. Это только сбоку сорок тыщ выглядят приличной суммой. Там в таргете в сутки десятки миллионов долларов прокручиваются, если не сотни, не говоря уже о ценности баз данных.

ЗЫ. Похоже, речь про это: https://access.redhat.com/security/vulnerabilities/ImageTragick