Гражданин России Андрей Леонов получил от Фейсбук рекордное вознаграждение в 40 000 долларов, сообщив техническим службам соцсети данные о найденной им серьезной уязвимости. Про это специалист по безопасности написал в личном блоге.

Ошибка содержалась в широко использующемся разработчиками интернет-представительств инструменте ImageMagick — библиотеке, обеспечивающей обработку изображений перед их отображением на странице. ImageMagick поддерживается основными языками веб-программирования, включая PHP, Ruby, NodeJS, Python и другие. Баг позволял злоумышленникам исполнять на удаленном сервере произвольный код, " спрятав" специальную закладку в файле изображения.

О самой уязвимости было оглашено в мае прошедшего года, и подавляющее число интернет-представительств предприняли меры для предохранения от нее. Однако в октябре Леонов сумел обойти применявшуюся Фейсбук защиту от подобных атак, основанную на брандмауэрах, используя метод создания DNS-туннелей. Спустя два дня опосля того, как он сказал О своей находке в Фейсбук, социальная сеть устранила уязвимость, а Спустя еще десять дней перечислила Леонову 40 000 долларов.

Эта сумма является рекордной для программы поощрения " добропорядочных" хакеров, запущенной Фейсбук в 2011-м. В 2014-м поощрение в размере 33 пятьсот долларов получил от организации бразильский программист Реджинальдо Сильва, Обнаруживший способ удаленно считывать любые файлы (включая файл с паролями системного администратора) на веб-сервере, а также исполнять произвольный код.