Сигурност

Facebook изплати на руски хакер рекордна сума за откриване на бъг

CIO Media

Руският експерт по информационна сигурност Андрей Леонов (ник 4lemon) получи от Facebook рекордна награда в размер на $40 хил. за откриването на критична уязвимост, съобщава сайтът cnews.ru. 

До сега най-крупното възнаграждения за откриване на бъг, изплатено от Facebook бе $33,5 хил., които през 2014 г. получи “ловецът на уязвимости Реджиналдо Силва (Reginaldo Silva).
 
Леонов е открил в социалната мрежа бъг, който позволява на сървърите на Facebook да се пусне произволен код. Като “точка за вход” той използвал сериозна уязвимост в услугата ImageMagick, която осигурява бързо мащабиране и конвертиране на изображения (не само във Facebook, но и в много други web услуги). 
Според информацията на личната страница на Леонов във Facebook, към момента той работи като директор по сигурността на международната компания за маркетингови анализи SEMrush в Санкт Петербург. 

Сериозната уязвимост в ImageMagick, която експертите са нарекли ImageTragick, е намерена през април 2016 г. За щастие разработчиците на ImageMagick доста бързо са пуснали нови версии, в които са отстранили уязвимостта, но е било необходимо и собствениците на web услуги, които прилагат ImageMagick да предприемат определени действия. През есента на 2016 г. Андрей Леонов тествал някакъв ресурс, който го пренасочил към Facebook и в крайна сметка експертът установил, че сървърите на Facebook, както и преди съдържат уязвимостта ImageTragick.
През октомври 2016 г. Леонов подготвил експлойт и го предоставил заедно с допълнителна информация на Facebook. Три дни след това уязвимостта била отстранена. 
Леонов подробно е описал резултатите от своите изследвания на собствения си сайт, но, в съответствие със споразумението му с Facebook, не е публикувал кода на експлойта. 

Следете публикациите в инфоцентър “ИТ сигурност” на сайта www.cio.bg

Професионални пътеки за сертифициране на експерта по киберсигурност

2016: година на трансформацията в киберсигурността

Българските организации обогатяват арсенала си от мерки и технологии за защита

12 въпроса за ИТ сигурността

Защита от кибер атаки в стил Сун Дзъ

ИТ сигурността днес: Нараснали рискове и намалени бюджети

ИТ сигурността през 2015 г. – положителни тенденции и предизвикателства

Информационната сигурност - време за избор на противодействаща или превантивна стратегия

10 значими тенденции в сферата на ИТ сигурността 

Превенция на корпоративен шпионаж

Когато защитите паднат (Не ако, именно когато)

Как да приложим "Тигрови мерки" за защита на информацията?

... и много други...


X