Соцсети Andrey Frolov
8 029

Facebook выплатил российскому программисту рекордные $40 тысяч за найденную уязвимость

Администрация Facebook выплатила российскому программисту Андрею Леонову рекордные $40 тысяч за обнаружение уязвимости, с помощью которой взломщик мог выполнять произвольный код на серверах соцсети. Об этом пишет Fortune, процесс обнаружения ошибки Леонов описал в своём блоге.

Программист рассказал, что он обнаружил сбой, изучая обработку фотографий в Facebook. Соцсеть использует сервис ImageMagick для уменьшения размера изображений, на которые пользователь даёт ссылку, и при загрузке на свой сервер проверяет только формат изображения — JPG, GIF или PNG, написал Леонов. Тип файла проверяется по первым байтам, что позволяет под видом картинки замаскировать любой файл, указал он.

Леонов сообщил об ошибке в Facebook 16 октября 2016 года, 19 октября уязвимость была устранена. В ноябре Facebook выплатила награду исследователю.

Представители Facebook сообщили Fortune, что выплата Леонову оказалась самой большой за всё время существования программы вознаграждений за найденные уязвимости. Ранее наиболее крупная награда была выдана бразильскому программисту Режиналдо Сильве, который рассказал о способе получить доступ почти к любым файлам на серверах соцсети. В 2014 году он получил $33 тысячи.

#новость #Facebook #уязвимости

{ "author_name": "Andrey Frolov", "author_type": "editor", "tags": ["\u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438","\u043d\u043e\u0432\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","facebook"], "comments": 15, "likes": 17, "favorites": 1, "is_advertisement": false, "subsite_label": "social", "id": 21448, "is_wide": true }
00
дни
00
часы
00
мин
00
сек
(function(){ var banner = document.querySelector('.teaserSberbank'); var isAdsDisabled = document.querySelector('noad'); if (!isAdsDisabled){ var countdownTimer = null; var timerItem = document.querySelectorAll('[data-sber-timer]'); var seconds = parseInt('15388' + '59599') - now(); function now(){ return Math.round(new Date().getTime()/1000.0); } function timer() { var days = Math.floor(seconds / 24 / 60 / 60); var hoursLeft = Math.floor((seconds) - (days * 86400)); var hours = Math.floor(hoursLeft / 3600); var minutesLeft = Math.floor((hoursLeft) - (hours * 3600)); var minutes = Math.floor(minutesLeft / 60); var remainingSeconds = seconds % 60; if (days < 10) days = '0' + days; if (hours < 10) hours = '0' + hours; if (minutes < 10) minutes = '0' + minutes; if (remainingSeconds < 10) remainingSeconds = '0' + remainingSeconds; if (seconds <= 0) { clearInterval(countdownTimer); } else { timerItem[0].textContent = days; timerItem[1].textContent = hours; timerItem[2].textContent = minutes; timerItem[3].textContent = remainingSeconds; seconds -= 1; } } timer(); countdownTimer = setInterval(timer, 1000); } else { banner.style.display = 'none'; } })();
{ "id": 21448, "author_id": 14066, "diff_limit": 1000, "urls": {"diff":"\/comments\/21448\/get","add":"\/comments\/21448\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/21448"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 199129 }

15 комментариев 15 комм.

Популярные

По порядку

Написать комментарий...
12

Жалко фб не платит за обнаружение дерьмового дизайна

Ответить
0

Сколько людей, столько и мнений. Разорились бы...

Ответить
9

А Тиньков бы сказал, что ни одна, из обнаруженных уязвимостей, ему не понравилась)))

Ответить
8

В контексте обвинений русских в кибер взломах, новость отлично ложится под информационную войну, и дополнительное доказательства что все русские хакеры.

Ответить
1

Все хакеры, которые ломают США, русские.

Ответить
0

Как что-то плохое.

Ответить
2

Дорогие читатели, а поведайте-ка мне, где в этой уязвимости практическая польза? Шелл-скрипт на сервере так не исполнишь, как вместо фотографии какой-нибудь JS-код исполнить, я тоже не представляю, а кроме этого у меня идей нету.

Ответить
0

Ай, хватит завидовать!

Ответить
1

Я просто спросил.

Ответить
1

По ссылке в блоге все есть

Ответить

Комментарий удален

0

Очередная победа.

Ответить
0

а фб не приглашают сразу на работу?

Ответить
0

маловато

Ответить
0

щас опять хомохакеры ринутся дырки искать у больших дядей в надежде на куш. А им дулю, и тонны ненависти снова осядут на просторах инета...

Ответить
0

Молодец пацан

Ответить
0

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvc" } } }, { "id": 19, "label": "Тизер на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "p1": "cbltd", "p2": "gazs" } } } ]
Хакеры смогли обойти двухфакторную
авторизацию с помощью уговоров
Подписаться на push-уведомления