Facebook выплатил российскому пользователю 40 000 долларов

Российский специалист Андрей Леонов получил от социальной сети Facebook 40 000 долларов за обнаруженную уязвимость. Это самое крупное вознаграждение, которое компания выплачивала за найденные ошибки: до этого рекордную сумму в размере 33 500 долларов получил бразилец Реджинальдо Сильва в 2014 году.

Андрей Леонов нашел в библиотеке для обработки фотографий ImageMagick баг, позволяющий запустить на сервере произвольный программный код с помощью картинки. Если пользователь делится ссылкой, Facebook автоматически подгружает к посту изображение с указанной веб-страницы. При этом ImageMagick проверяет файл по первым байтам, что позволяло злоумышленникам замаскировать исполняемый код под картинку. Россиянин обнаружил ошибку в октябре 2016 года и сообщил о своей находке в Facebook, после чего разработчики оперативно устранили уязвимость.