Российский хакер, специалист по безопасности в компании SEMrush Андрей Леонов получил от Facebook рекордный гонорар за обнаружение уязвимости.
Как отметил сам Леонов в своём блоге, компания заплатила ему 40.000 долларов. До этого рекордной была сумма в 33.5 тысячи долларов, которой Facebook вознаградила в 2014 году бразильского специалиста по кибербезопасности Реджинальдо Сильве.
Исследователь обнаружил в программном коде сайта "баг", который позволяет запускать на серверах Facebook произвольный код. Для осуществления этого действия использовалась серьёзная уязвимость в сервисе ImageMagick для быстрого масштабирования и конвертации изображений.
Суть уязвимости состоит в том, что под картинку маскируется файл с произвольным кодом, введённым злоумышленником. С его помощью можно получить доступ к данным пользователя.
С 2015 года Андрей Леонов работает специалистом по безопасности в компании SEMrush. Он также является активным пользователем блог-платформы для хакеров Hackerone.