28 марта 2024

Российский хакер рассказал, за что получил 40 тысяч долларов от Facebook*

© Служба новостей «URA.RU»
Размер текста
-
17
+
Открытая лицензия от 10.08.2016. , не публиковать!
Facebook заплатил Леонову за найденную уязвимость Фото:

Эксперт по кибербезопасности Андрей Леонов, которому соцсеть Facebook (деятельность запрещена в РФ) заплатила 40 тыс. долларов за найденную уязвимость, рассказал, как заработал рекордный гонорар. СМИ называют Леонова хакером, но он подчеркивает, что играет на стороне «белых», то есть находит уязвимости в программах и рассказывает об этом разработчикам.

Леонов обратил внимание, что функционал «расшарить новость на Facebook» (деятельность запрещена в РФ) берет заглавное изображение новости со сторонних серверов, рассказал специалист по кибербезопасности russian.rt.com. Выяснилось, что ни сам Facebook (деятельность запрещена в РФ), ни тем более библиотека ImageMagick при этом не проверяли, действительно ли загруженный файл — изображение формата JPEG или что-то другое.

Леонов, заметив это, не смог не проверить эту проблему: уязвимость заключалась в том, что Facebook (деятельность запрещена в РФ) обрабатывал, как он считает, картинку, которой человек может управлять и содержание которой может изменять.

Согласно классификации международного консорциума безопасности OWASP такая уязвимость имеет самый высокий рейтинг, отмечает издание. Опасность ее зависит от того, где исполняется этот код. Леонов связался с технической поддержкой Facebook (деятельность запрещена в РФ), и ошибку исправили в ноябре 2016 года.

До ситуации с Леоновым самым большим гонораром от социальной сети были 33,5 тыс. долларов, которые в 2014 году получил бразильский исследователь безопасности Реджинальдо Сильва, напоминает «Газета.ру».

По словам Андрея, после того как он нашел уязвимость в Facebook (деятельность запрещена в РФ), на него не посыпались предложения работы или заказы и он «останется тем, кем был». В интервью RT Леонов признался, что не верит ни в особую русскую школу, ни в русский почерк: есть просто умные ребята, которые много где рождаются. А уязвимости возможны везде. «Я пользуюсь обычным набором интернет-сервисов, которым пользуется любой человек, — говорит „хакер“. — У меня нет Instagram (деятельность запрещена в РФ), например, но не потому, что он плохой, — я просто не фотографирую еду и себя в лифте».

* деятельность запрещена в РФ

Публикации, размещенные на сайте www.ura.news и датированные до 19.02.2020 г., являются архивными и были выпущены другим средством массовой информации. Редакция и учредитель не несут ответственности за публикации других СМИ в соответствии с п. 6 ст. 57 Закона РФ от 27.12.1991 №2124-1 «О средствах массовой информации»

Сохрани номер URA.RU - сообщи новость первым!

Подписка на URA.RU в Telegram - удобный способ быть в курсе важных новостей! Подписывайтесь и будьте в центре событий. Подписаться.

Все главные новости России и мира - в одном письме: подписывайтесь на нашу рассылку.
На почту выслано письмо с ссылкой. Перейдите по ней, чтобы завершить процедуру подписки.
Эксперт по кибербезопасности Андрей Леонов, которому соцсеть Facebook (деятельность запрещена в РФ) заплатила 40 тыс. долларов за найденную уязвимость, рассказал, как заработал рекордный гонорар. СМИ называют Леонова хакером, но он подчеркивает, что играет на стороне «белых», то есть находит уязвимости в программах и рассказывает об этом разработчикам. Леонов обратил внимание, что функционал «расшарить новость на Facebook» (деятельность запрещена в РФ) берет заглавное изображение новости со сторонних серверов, рассказал специалист по кибербезопасности russian.rt.com. Выяснилось, что ни сам Facebook (деятельность запрещена в РФ), ни тем более библиотека ImageMagick при этом не проверяли, действительно ли загруженный файл — изображение формата JPEG или что-то другое. Леонов, заметив это, не смог не проверить эту проблему: уязвимость заключалась в том, что Facebook (деятельность запрещена в РФ) обрабатывал, как он считает, картинку, которой человек может управлять и содержание которой может изменять. Согласно классификации международного консорциума безопасности OWASP такая уязвимость имеет самый высокий рейтинг, отмечает издание. Опасность ее зависит от того, где исполняется этот код. Леонов связался с технической поддержкой Facebook (деятельность запрещена в РФ), и ошибку исправили в ноябре 2016 года. До ситуации с Леоновым самым большим гонораром от социальной сети были 33,5 тыс. долларов, которые в 2014 году получил бразильский исследователь безопасности Реджинальдо Сильва, напоминает «Газета.ру». По словам Андрея, после того как он нашел уязвимость в Facebook (деятельность запрещена в РФ), на него не посыпались предложения работы или заказы и он «останется тем, кем был». В интервью RT Леонов признался, что не верит ни в особую русскую школу, ни в русский почерк: есть просто умные ребята, которые много где рождаются. А уязвимости возможны везде. «Я пользуюсь обычным набором интернет-сервисов, которым пользуется любой человек, — говорит „хакер“. — У меня нет Instagram (деятельность запрещена в РФ), например, но не потому, что он плохой, — я просто не фотографирую еду и себя в лифте». * деятельность запрещена в РФ
Расскажите о новости друзьям

{{author.id ? author.name : author.author}}
© Служба новостей «URA.RU»
Размер текста
-
17
+
Расскажите о новости друзьям
Загрузка...