Российский хакер Андрей Леонов обнаружил «дыру» в сервисе ImageMagick, позволяющую осуществлять атаки на Facebook. Соцсеть в качестве благодарности выплатила Леонову сумму в $40 тыс., являющуюся рекордной во всей истории компании. Ранее самым крупным вознаграждением за обнаружение уязвимости в Facebook было $33,5 тыс.
На странице Леонова в соцсети Facebook указано, что с августа 2015 года он является директором по безопасности в международной маркетингово-аналитической компании SEMrush в Санкт-Петербурге. Он нашел баг в ПО соцсети, позволяющий запускать произвольный код на серверах Facebook. Как оказалось, в сервисе ImageMagick для быстрого масштабирования изображений имелась «дыра», используемая как «точка входа».
Уязвимость, получившая название «Tragick», впервые была найдена в апреле 2016 года. Баг допускал запуск произвольного кода на удаленном сервере, что делало уязвимыми большинство веб-сервисов во всем мире. Разработчики ImageMagick быстро выпустили новые версии, но, как оказалось, этого было не достаточно. Пришлось потрудиться и владельцам веб-сервисов, использующих ImageMagick.
Осенью прошлого года Леонов тестировал некий ресурс, перенаправлявший его на Facebook, и заметил, что серверы Facebook все также уязвимы. В октябре Леонов подготовил эксплойт и предоставил его техническим службам соцсети, что и позволило залатать «дыру».
