Соціальна мережа Facebook нагородила росіянина Андрія Леонова за знайдену уразливість в безпеці відвідувачів сайту. «Пролом» в безпеки отримала статус критичної.
Андрій з’ясував, що Facebook використовує вразливі версії сервісу ImageMagick. Це програмний пакет для попередньої обробки зображень перед публікацією, що використовується в багатьох популярних сайтах. Використовуючи пролом в безпеці, зловмисники могли на віддаленому сервері виконувати будь-які команди, «сховавши» код в файлі зображення.
Уразливість виявили та усунули ще в травні 2016 року. Однак в листопаді Андрію вдалося обійти захист Facebook. Він відразу повідомив про небезпеку адміністрації соцмережі, через два дні проблему усунули.
Адрій спеціально для Hi-Tech Mail.Ru розповів про свою знахідку:
Знайдена уразливість дозволяла виконувати довільний програмний код на сервері (серверах), що належать компанії Facebook. Але треба розуміти, що, не дивлячись на те, що саме по собі виконання коду не є добре, дуже важливо де його можна виконати. Що це були за сервера, до чого можна було отримати доступ на самих серверах, на сусідніх.
Помилку присвоїли статус критичної. Андрій отримав найбільше винагороду від Facebook — 40 тисяч доларів або 2 млн 400 тисяч рублів. Про свою знахідку Андрій розповів в особистому блозі.
Андрій Леонов також відповів на кілька запитань Hi-Tech Mail.Ru:
— Скільки часу пішло на пошук вразливості?
— Чесно кажучи, складне питання. Після того, як я потрапив на сторінку, де був вразливий скрипт — ну може бути хвилин двадцять-тридцять на всі перевірки. Але той факт, що я взагалі туди потрапив — це випадковість. До цього десь з пару годин перевіряв інший сервіс і вже з нього потрапив на facebook.
— Які інструменти використовувалися для пошуку?
— Стандартні — браузер, burp suite (прим. Редакції — ПО для тестування безпеки веб-додатків), руки, голову і знання 🙂