Андрей выяснил, что Facebook использует уязвимые версии сервиса ImageMagick. Это программный пакет для предварительной обработки изображений перед публикацией, использующийся на многих популярных сайтах. Используя брешь в безопасности, злоумышленники могли на удаленном сервере выполнять любые команды, «спрятав» код в файле изображения.
Уязвимость обнаружили и устранили еще в мае 2016 года. Однако в ноябре Андрею удалось обойти защиту Facebook. Он сразу сообщил об опасности администрации соцсети, через два дня проблему устранили.
Андрей специально для Hi-Tech Mail.Ru рассказал о своей находке:
Найденная уязвимость позволяла исполнять произвольный программный код на сервере (серверах), принадлежащих компании Facebook. Но надо понимать, что несмотря на то, что само по себе исполнение кода не есть хорошо, очень важно, где его можно исполнить. Что это были за сервера, к чему можно было получить доступ на самих серверах, на соседних.
Награда
Ошибке присвоили статус критической. Андрей получил самое крупное вознаграждение от Facebook — 40 тысяч долларов или 2 млн 400 тысяч рублей. О своей находке Андрей рассказал в личном блоге.
Андрей Леонов также ответил на несколько вопросов Hi-Tech Mail.Ru:
— Сколько времени ушло на поиск уязвимости?
— Честно говоря, сложный вопрос. После того, как я попал на страницу, где был уязвимый скрипт — ну может быть минут двадцать-тридцать на все проверки. Но тот факт, что я вообще туда попал — это случайность. До этого где-то с пару часов проверял другой сервис и уже с него попал на facebook.
- Какие инструменты использовались для поиска?
— Стандарные — браузер, burp suite (прим. редакции — ПО для тестирования безопасности веб-приложений), руки, голову и знания :)
Читайте также: Российский телеканал Russia Today заблокировали в Facebook