Российский «хакер» рассказал, за что получил 40 тысяч долларов от Facebook

Москва, 27 января. Эксперт по кибербезопасности россиянин Андрей Леонов, получивший от соцсети Facebook 40 тысяч долларов за обнаруженную уязвимость, рассказал, за что получил гонорар.

Леонов, которого СМИ назвали российским «хакером», подчеркивает, что не является таковым, поскольку играет на стороне «белых». Он работает самостоятельно, а поиск уязвимостей является для него просто хобби.

Леонов обратил внимание на то, что функционал «расшарить новость на Facebook» использовал в качестве заглавного изображение, взятое со сторонних серверов. При этом ни Facebook, ни ImageMagick не проверяли, является ли файл формата изображением JPEG или чем-то иным.

«Заметив это, я не смог не проверить эту проблему — что некоторый сервис, в данном случае Facebook, обрабатывает, как он считает, картинку, которой я могу управлять и содержание которой могу изменять», — рассказал Леонов.

Данная уязвимость имеет самый высокий рейтинг по классификации международного консорциума безопасности OWASP. Особую опасность она представляет, если компьютер имеет доступ к базе данных пользователей, пояснил эксперт. Обнаружив уязвимость, он связался с техподдержкой Facebook, и ошибка была исправлена в ноябре 2016 года, пишет RT на русском.

Читайте также: Взломавший Facebook российский хакер получил рекордный гонорар