Реальный пример заработка на поиске уязвимостей в Facebook
Компания Facebook по достоинству оценила труд программиста из России, который обнаружил уязвимость в социальной сети. Он получил от компании 40 000 долл. С помощью данной уязвимости злоумышленник мог бы выполнить любой программный код на серверах Facebook.
Программиста зовут Андрей Леонов. Он сказал, что уязвимость была найдена случайно. Он тестировал модуль авторизации, в процессе которого должно появиться окно «Поделиться». Данное окно должно содержать картинку, которая почему-то не отобразилась на экране.
В процессе решения проблемы программист понял, что система безопасности позволяет выполнить код, отправленный удаленно. Эта уязвимость существовала в рамках Image Magick.
Данная библиотека вместе с соответствующим инструментом используются для того, чтобы редактировать снимки. На ее основе создается фоторедактор Facebook, встроенный в социальную сеть.
Андрей Леонов говорит о том, что злоумышленник мог поместить вредоносный код внутри любой фотографии. Затем такой снимок можно было бы запросто разместить в социальной сети.
Заметим, что хакеры обнаружили данную уязвимость еще весной 2016 года. Есть даже реальные примеры онлайн-сервисов, которые были взломаны из-за ошибке в Image Magick.
Специалисты Facebook уже давно пытаются устранить данную проблему. Однако российскому программисту удалось обойти новые средства защиты.
Для того чтобы решить новую проблему, сотрудники Facebook пополнили брандмауэр приложений специальным правилом. Он должен блокировать трафик подозрительного характера. Однако данная мера не решает проблему полностью и не гарантирует надежной защиты.
Андрей Леонов сообщил об обнаруженной уязвимости еще в октябре 2016 года. Обнаруженная им уязвимость была устранена в течение трех дней.