Вы зашли на мобильную версию сайта
Перейти на версию для ПК

Российский хакер рассказал, за что получил 40 тысяч долларов от Facebook*

Открытая лицензия от 10.08.2016. , не публиковать!
Facebook заплатил Леонову за найденную уязвимость Фото:

Эксперт по кибербезопасности Андрей Леонов, которому соцсеть Facebook (деятельность запрещена в РФ) заплатила 40 тыс. долларов за найденную уязвимость, рассказал, как заработал рекордный гонорар. СМИ называют Леонова хакером, но он подчеркивает, что играет на стороне «белых», то есть находит уязвимости в программах и рассказывает об этом разработчикам.

Леонов обратил внимание, что функционал «расшарить новость на Facebook» (деятельность запрещена в РФ) берет заглавное изображение новости со сторонних серверов, рассказал специалист по кибербезопасности russian.rt.com. Выяснилось, что ни сам Facebook (деятельность запрещена в РФ), ни тем более библиотека ImageMagick при этом не проверяли, действительно ли загруженный файл — изображение формата JPEG или что-то другое.

Леонов, заметив это, не смог не проверить эту проблему: уязвимость заключалась в том, что Facebook (деятельность запрещена в РФ) обрабатывал, как он считает, картинку, которой человек может управлять и содержание которой может изменять.

Согласно классификации международного консорциума безопасности OWASP такая уязвимость имеет самый высокий рейтинг, отмечает издание. Опасность ее зависит от того, где исполняется этот код. Леонов связался с технической поддержкой Facebook (деятельность запрещена в РФ), и ошибку исправили в ноябре 2016 года.

До ситуации с Леоновым самым большим гонораром от социальной сети были 33,5 тыс. долларов, которые в 2014 году получил бразильский исследователь безопасности Реджинальдо Сильва, напоминает «Газета.ру».

По словам Андрея, после того как он нашел уязвимость в Facebook (деятельность запрещена в РФ), на него не посыпались предложения работы или заказы и он «останется тем, кем был». В интервью RT Леонов признался, что не верит ни в особую русскую школу, ни в русский почерк: есть просто умные ребята, которые много где рождаются. А уязвимости возможны везде. «Я пользуюсь обычным набором интернет-сервисов, которым пользуется любой человек, — говорит „хакер“. — У меня нет Instagram (деятельность запрещена в РФ), например, но не потому, что он плохой, — я просто не фотографирую еду и себя в лифте».

* деятельность запрещена в РФ

Публикации, размещенные на сайте www.ura.news и датированные до 19.02.2020 г., являются архивными и были выпущены другим средством массовой информации. Редакция и учредитель не несут ответственности за публикации других СМИ в соответствии с п. 6 ст. 57 Закона РФ от 27.12.1991 №2124-1 «О средствах массовой информации»

Сохрани номер URA.RU - сообщи новость первым!

Не упустите шанс быть в числе первых, кто узнает о главных новостях России и мира! Присоединяйтесь к подписчикам telegram-канала URA.RU и всегда оставайтесь в курсе событий, которые формируют нашу жизнь. Подписаться на URA.RU.

Все главные новости России и мира - в одном письме: подписывайтесь на нашу рассылку!
На почту выслано письмо с ссылкой. Перейдите по ней, чтобы завершить процедуру подписки.
Эксперт по кибербезопасности Андрей Леонов, которому соцсеть Facebook (деятельность запрещена в РФ) заплатила 40 тыс. долларов за найденную уязвимость, рассказал, как заработал рекордный гонорар. СМИ называют Леонова хакером, но он подчеркивает, что играет на стороне «белых», то есть находит уязвимости в программах и рассказывает об этом разработчикам. Леонов обратил внимание, что функционал «расшарить новость на Facebook» (деятельность запрещена в РФ) берет заглавное изображение новости со сторонних серверов, рассказал специалист по кибербезопасности russian.rt.com. Выяснилось, что ни сам Facebook (деятельность запрещена в РФ), ни тем более библиотека ImageMagick при этом не проверяли, действительно ли загруженный файл — изображение формата JPEG или что-то другое. Леонов, заметив это, не смог не проверить эту проблему: уязвимость заключалась в том, что Facebook (деятельность запрещена в РФ) обрабатывал, как он считает, картинку, которой человек может управлять и содержание которой может изменять. Согласно классификации международного консорциума безопасности OWASP такая уязвимость имеет самый высокий рейтинг, отмечает издание. Опасность ее зависит от того, где исполняется этот код. Леонов связался с технической поддержкой Facebook (деятельность запрещена в РФ), и ошибку исправили в ноябре 2016 года. До ситуации с Леоновым самым большим гонораром от социальной сети были 33,5 тыс. долларов, которые в 2014 году получил бразильский исследователь безопасности Реджинальдо Сильва, напоминает «Газета.ру». По словам Андрея, после того как он нашел уязвимость в Facebook (деятельность запрещена в РФ), на него не посыпались предложения работы или заказы и он «останется тем, кем был». В интервью RT Леонов признался, что не верит ни в особую русскую школу, ни в русский почерк: есть просто умные ребята, которые много где рождаются. А уязвимости возможны везде. «Я пользуюсь обычным набором интернет-сервисов, которым пользуется любой человек, — говорит „хакер“. — У меня нет Instagram (деятельность запрещена в РФ), например, но не потому, что он плохой, — я просто не фотографирую еду и себя в лифте». * деятельность запрещена в РФ
Комментарии ({{items[0].comments_count}})
Показать еще комментарии
оставить свой комментарий
{{item.comments_count}}

{{item.img_lg_alt}}
{{inside_publication.title}}
{{inside_publication.description}}
Ссылки по теме
материал из сюжета
Предыдущий материал
Следующий материал
Комментарии ({{item.comments_count}})
Показать еще комментарии
оставить свой комментарий
Загрузка...