Програміст з Петербурга (Росія) Андрій Леонов отримав рекордний гонорар від Facebook: компанія виплатила йому $ 40 тисяч за те, що він виявив помилку в програмі соцмережі при обробці зображень.
Про те, як йому вдалося виявити вразливе місце соціальної мережі, він розповів в інтерв’ю виданню ” Папір “.
Леонов працює у відділі безпеки IT-компанії SEMrush , яка розробляє інструменти для онлайн-маркетингу, а у вільний час займається пошуком вразливостей на сайтах, у яких є відкрита програма заохочення подібних досліджень.
На Facebook є сторінка, де можна розшарити новину: написати зміст посту, прикріпити фотографію. Частина скрипта відповідає за обробку зображення, тобто запитує його з одного сервера і перекачує на сервер Facebook . Так ось, ця частина була побудована за допомогою вразливої бібліотеки ImageMagick – це дуже відома і поширена бібліотека, яка дозволяє робити певні маніпуляції з зображенням, зокрема, змінювати їх розмір і формат. В кінці квітня 2016 року дослідники виявили вразливість цієї бібліотеки, і до початку травня ImageMagick випустив виправлення.
“Коли я натрапив на цю сторінку, то подумав, що раз тут відбувається конвертація, то, напевно, можна її перевірити. Але, чесно кажучи, останнє, про що я думав, так це про те, що Facebook десь забув оновити бібліотеку з вразливої версії на невразливу. Ти цього не очікуєш, але, з іншого боку, в такій великій інфраструктурі, як Facebook , таке можливо. Уявіть: у них 10 тисяч серверів і, припустимо, на 20 вони забули оновити “, – розповів Леонов.
Після перевірки він виявив, що для користувача все в обробці фотографій працювало. Але за певних маніпуляцій можна було отримати доступ до даних, які там зберігаються на серверах Facebook.
“Які там були дані, я, природно, не знаю, тому що, за правилами участі в програмі Facebook і інших компаній, дослідник не має права лізти далі. Він знаходить якусь точку входу – і на ній повинен зупинитися, тому що інакше в кращому випадку позбудеться виплати, в гіршому – до нього застосують всі можливі заходи, як до хакера вже в поганому сенсі слова “, – пояснив програміст.
Він був дуже здивований тим, що соцмережа заплатила йому за знахідку рекордну суму. До цього найбільшу виплату в $ 33,5 тисячі отримав бразилець Реджинальд Сільви. Але він, за словами Леонова, виконав технічно непростий пошук, а у випадку з російським програмістом все було дуже просто. Він отримав гонорар через 2,5 тижні.
“Сума залежить від декількох факторів. По-перше, Facebook , як і Google , в принципі дуже щедрі на виплати. За те, за що в середньому по ринку платять від $ 200 до $ 1000, вони платять від $ 5 до $ 10 тисяч. Другий аспект – це класифікація самих вразливостей. Віддалене виконання коду – це максимальний рейтинг в класифікації, тому що я фактично можу робити все те ж, що і власник сервера. Далі, є відмінності в загрозі: одна справа, якщо це сервер, на якому немає нічого цінного, і інше, якщо на ньому зберігається база всіх клієнтів. Я допускаю, що в моєму випадку це давало доступ до якоїсь важливої інформації, але не впевнений, тому що не мав права дивитися “, – пояснив хакер високу суму свого гонорару.
Читайте також: В УКРАЇНІ ЗАПУСТИЛИ БЕЗКОШТОВНИЙ САЙТ З ВИВЧЕННЯМ АНГЛІЙСЬКОЇ МОВИ
