Facebook выплатил русскому хакеру рекордное вознаграждение
Уязвимость позволяет злоумышленникам удаленно запускать код на выполнение, используя популярный инструмент редактирования фото ImageMagick для уменьшения размера картинок. Используя эту уязвимость злоумышленники могут замаскировать зловредный код под файл с изображением и загрузить его на сайт.
Изначально уязвимость была обнаружена прошлой весной и влияет на множество сайтов, которые позволяют использовать ImageMagick. Команда безопасности Facebook предпринимала попытку закрыть проблему в прошлом году, но Леонов сумел обойти это исправление.
В результате, Леонов сообщил о проблеме 16 октября 2016 года и в через три дня Facebook уязвимость была закрыта. В начале ноября Леонов получил вознаграждение через стартап Bugcrowd. Представители Facebook подтвердили журналистам, что это крупнейшее вознаграждение за уязвимость, которое только выплачивалось компанией когда-либо. До этого рекордом считались 35 тысяч долларов, выплаченные в январе 2014 года бразильцу Режиналдо Сильве, заметившему уязвимость, позволяющую удаленно запускать код, в процессе авторизации на сайте.
Источник новости: Fortune