Facebook выплатил россиянину $40 тыс. за выявление уязвимости

Социальная сеть Facebook выплатила российскому специалисту по информационной безопасности Андрею Леонову рекордную сумму — $40 тыс. — за обнаруженную им критическую уязвимость, сообщил он в своем блоге 17 января. Об этом стало известно только 20 января.

Леонов нашел в программном обеспечении социальной сети ошибку, которая позволяла запускать на ее серверах произвольный код. В качестве «точки входа» использовалась уязвимость в сервисе ImageMagick, предназначенном для быстрого масштабирования и конвертации изображений. В связи с этим уязвимость получила название ImageTragick.

«Тот факт, что сумма оказалась рекордной — думаю, это не самое главное. То, что она довольно большая — вот этому есть причина. Найденная уязвимость позволяла исполнять произвольный программный код на сервере или серверах, принадлежащих компании Facebook», — сказал Леонов РБК.

«Грубо говоря, если бы это было исполнение кода на сервере, который полностью изолирован от инфраструктуры компании, то это была бы одна степень опасности, а если это дает доступ, например, к базе данных пользователей, то уровень, сами понимаете, совсем другой. Это и влияет на размер выплаты», — пояснил он.

По словам Леонова, интересоваться вопросами кибербезопасности он начал с 2007 года и с тех пор неоднократно находил уязвимости в разных сервисах. Специалист признался, что выявление такой серьезной уязвимости в таком крупном сервисе, как Facebook, — «это лотерея». «С таким же успехом я мог купить выигрышный билет», — добавил он.

Глава службы безопасности Facebook Алекс Стамос на своей странице в Twitter подтвердил информацию о вознаграждении российского программиста. «За выявление серьезного бага ответственный пользователь получил $40 тыс.», — написал он, сославшись на сообщение со страницы Андрея Леонова.

В мае 2016 года Facebook выплатил $10 тыс. десятилетнему мальчику из Финляндии, который обнаружил уязвимость в социальной сети Instagram (принадлежит Facebook). Мальчик обнаружил баг, который позволял пользователям удалять комментарии, и стал самым молодым из тех, кто когда-либо получал награды от Facebook.

0

Рекомендуемые материалы

Азгануш Мисакян
Как геймификация в обучении IT помогает взрастить талантливых специалистов

Спрос на специалистов в сфере IT продолжает расти, но кадровый голод мешает бизнесу закрыть эту потребность. Ежегодно нужны тысячи новых профессионалов - разработчиков, аналитиков данных, специалистов по кибербезопасности и пр. При этом проблема во многом обусловлена не отсутствием специалистов, а их недостаточным уровнем подготовки к реальным вызовам индустрии. В результате после окончания онлайн-курсов начинающие программисты получают отказы на собеседованиях, компании остаются без сотрудников, а IT школы вынуждены пересматривать свой подход к обучению.

Что сейчас происходит на отечественном рынке IT и как с помощью геймификации подготовить кадры, способные действительно решать задачи бизнеса - рассказала CEO школы программирования YCLA Coding Азгануш Мисакян.