Социальная сеть Facebook выплатила российскому хакеру, Андрею Леонову, рекордную сумму вознаграждения за найденную уязвимость — 40 тысяч долларов. Об этом рассказало издание Fortune, а сам Леонов описал уязвимость в своем блоге.
Уязвимость позволяет злоумышленникам удаленно запускать код на выполнение, используя популярный инструмент редактирования фото ImageMagick для уменьшения размера картинок. Используя эту уязвимость злоумышленники могут замаскировать зловредный код под файл с изображением и загрузить его на сайт.
Изначально уязвимость была обнаружена прошлой весной и влияет на множество сайтов, которые позволяют использовать ImageMagick. Команда безопасности Facebook предпринимала попытку закрыть проблему в прошлом году, но Леонов сумел обойти это исправление.
В результате, Леонов сообщил о проблеме 16 октября 2016 года и в через три дня Facebook уязвимость была закрыта. В начале ноября Леонов получил вознаграждение через стартап Bugcrowd. Представители Facebook подтвердили журналистам, что это крупнейшее вознаграждение за уязвимость, которое только выплачивалось компанией когда-либо. До этого рекордом считались 35 тысяч долларов, выплаченные в январе 2014 года бразильцу Режиналдо Сильве, заметившему уязвимость, позволяющую удаленно запускать код, в процессе авторизации на сайте.