Российский хакер рассказал, за что получил 40 тысяч долларов от Facebook*

Эксперт по кибербезопасности Андрей Леонов, которому соцсеть Facebook (деятельность запрещена в РФ) заплатила 40 тыс. долларов за найденную уязвимость, рассказал, как заработал рекордный гонорар. СМИ называют Леонова хакером, но он подчеркивает, что играет на стороне «белых», то есть находит уязвимости в программах и рассказывает об этом разработчикам.

Леонов обратил внимание, что функционал «расшарить новость на Facebook» (деятельность запрещена в РФ) берет заглавное изображение новости со сторонних серверов, рассказал специалист по кибербезопасности russian.rt.com. Выяснилось, что ни сам Facebook (деятельность запрещена в РФ), ни тем более библиотека ImageMagick при этом не проверяли, действительно ли загруженный файл — изображение формата JPEG или что-то другое.

Леонов, заметив это, не смог не проверить эту проблему: уязвимость заключалась в том, что Facebook (деятельность запрещена в РФ) обрабатывал, как он считает, картинку, которой человек может управлять и содержание которой может изменять.

Согласно классификации международного консорциума безопасности OWASP такая уязвимость имеет самый высокий рейтинг, отмечает издание. Опасность ее зависит от того, где исполняется этот код. Леонов связался с технической поддержкой Facebook (деятельность запрещена в РФ), и ошибку исправили в ноябре 2016 года.

До ситуации с Леоновым самым большим гонораром от социальной сети были 33,5 тыс. долларов, которые в 2014 году получил бразильский исследователь безопасности Реджинальдо Сильва, напоминает «Газета.ру».

По словам Андрея, после того как он нашел уязвимость в Facebook (деятельность запрещена в РФ), на него не посыпались предложения работы или заказы и он «останется тем, кем был». В интервью RT Леонов признался, что не верит ни в особую русскую школу, ни в русский почерк: есть просто умные ребята, которые много где рождаются. А уязвимости возможны везде. «Я пользуюсь обычным набором интернет-сервисов, которым пользуется любой человек, — говорит „хакер“. — У меня нет Instagram (деятельность запрещена в РФ), например, но не потому, что он плохой, — я просто не фотографирую еду и себя в лифте».

* деятельность запрещена в РФ