• Реклама: 💰 Пополни свой портфель с минимальной комиссией на Transfer24.pro
  • Добро пожаловать на инвестиционный форум!

    Во всем многообразии инвестиций трудно разобраться. MMGP станет вашим надежным помощником и путеводителем в мире инвестиций. Только самые последние тренды, передовые технологии и новые возможности. 400 тысяч пользователей уже выбрали нас. Самые актуальные новости, проверенные стратегии и способы заработка. Сюда люди приходят поделиться своим опытом, найти и обсудить новые перспективы. 16 миллионов сообщений, оставленных нашими пользователями, содержат их бесценный опыт и знания. Присоединяйтесь и вы!

    Впрочем, для начала надо зарегистрироваться!
  • 🐑 Моисей водил бесплатно. А мы платим, хотя тоже планируем работать 40 лет! Принимай участие в партнеской программе MMGP
  • 📝 Знаешь буквы и умеешь их компоновать? Платим. Дорого. Бессрочная акция от MMGP: "ОПЛАТА ЗА СООБЩЕНИЯ"
  • 💰 В данном разделе действует акция с оплатой за новые публикации
  • 📌 Внимание! Перед публикацией новостей ознакомьтесь с правилами новостных разделов

Facebook выплатила русскому хакеру рекордный гонорар

pilot10

ТОП-МАСТЕР
Регистрация
25.12.2009
Сообщения
22,465
Реакции
9,979
Поинты
1.757

Россиянин Андрей Леонов получил от Facebook рекордное вознаграждение в $40 тыс, сообщив техническим службам соцсети информацию о найденной им серьезной уязвимости. Об этом специалист по безопасности написал в личном блоге.

Россиянин обнаружил в программном обеспечении ошибку, которая с помощью специальной картинки позволяла запускать на серверах произвольный код. Для этого необходимо было воспользоваться уязвимостью в сервисе ImageMagick, предназначенном для быстрого масштабирования и конвертации изображений в новостной ленте Facebook.

О самой уязвимости стало известно в мае прошлого года, и большинство сайтов предприняли меры для защиты от нее. Леонов случайно наткнулся на ошибку в октябре прошлого года во время тестирования стороннего сервиса, изучил ее и представил всю необходимую информацию техническим службам соцсети.

Спустя два дня после того, как он сообщил о своей находке в Facebook, компания устранила уязвимость, а спустя еще десять дней перечислила Леонову $40 тыс.

Эта сумма является рекордной для программы поощрения тех, кто помогает искать и устранять баги и уязвимости в Facebook. В 2014 г. поощрение в размере $33 500 получил от компании бразильский программист Реджинальдо Сильва, нашедший способ удаленно считывать любые файлы (включая файл с паролями системного администратора) на веб-сервере, а также исполнять произвольный код.

С 2015 г. Андрей Леонов работает специалистом по безопасности в компании SEMrush. Он также является активным пользователем блог-платформы для хакеров Hackerone.

Подробнее: http://www.vestifinance.ru/articles/80199
 

Лалла

Любитель
Регистрация
23.11.2016
Сообщения
548
Реакции
74
Поинты
0.000
Регистрация
10.04.2011
Сообщения
2,217
Реакции
1,182
Поинты
0.000
В хорошую сумму компания Facebook оценила уязвимость своей защиты. И Андрею Леонову повезло, наткнулся на ошибку, благодаря которой заработал 40 тыс. баксов.
40 тыс. копейки по-сравнению с тем ущербом, который может принести взлом Facebook.
 

JohnnyScatman

МАСТЕР
Регистрация
07.02.2013
Сообщения
2,614
Реакции
627
Поинты
0.480
Андрей Леонов работает специалистом по безопасности в компании SEMrush.
Человек совсем не случайный, не с луны свалился. По сути заработал по своей основной специальности :_1:
 

HeadDe

Любитель
Регистрация
21.12.2016
Сообщения
189
Реакции
29
Поинты
0.000

ElarGroup3

МАСТЕР
Верифицирован
Регистрация
25.03.2014
Сообщения
3,252
Реакции
1,232
Поинты
0.000

OPLOTT

ТОП-МАСТЕР
Регистрация
16.11.2015
Сообщения
39,562
Реакции
21,674
Поинты
266.933
Российский "хакер" заработал на взломе Facebook рекордную сумму




Сообщается, что американский Фейсбук заплатил российскому гражданину Андрею Леонову 40 000 долларов США за обнаруженную им уязвимость в утилите для ускоренного масштабирования и конвертации фотоснимков.

Как заявляет сам Леонов, который является программистом, данную уязвимость он можно сказать, обнаружил практически случайно, осенью прошлого года, когда тестировал стороннее приложение. И сначала он буквально не поверил своим глазам, увидев эту дыру в Фейсбуке, но убедившись повторно, что ошибки никакой нет, он сообщил об этом в саму социальную сеть. И вот буквально через 12 дней представители Фейсбука связались с ним по обратной связи и подтвердили, что они перепроверили его данные и всё так и есть: - уязвимость существует и сейчас они работают над её устранением. А в качестве награды за оказанную помощь, Фейсбук предложил Андрею вознаграждение в размере 40 000 долларов США, от которых Леонов, конечно, не отказался.

Позже в своем блоге Андрей решил пошутить над тем, что произошло и написал: "Я буквально счастлив, что стал одним из тех, кто сумел-таки взломать социальную сеть Фейсбук!"

В целом проблема кроется в библиотеке ИмиджМеджик (ImageMagick), которая отвечает за обработку фотоснимков (выполняет их ускоренное масштабирование и конвертацию) на серверах компании Фейсбук. Используется именно эта библиотека, когда клиент сервиса размещает проиллюстрированную ссылку на своей ленте в социальной сети, ну а затем фотоизображение оформляется в самом посте.

Если описывать саму найденную уязвимость, то чтобы проверить формат представленного файла, библиотека ИмиджМеджик проверяет лишь первые поступающие байты данных, и если файл реальный, то этого вполне хватает для распознания формата, будь то форматы jpg. gif или png. Но в свою очередь, реальные хакеры в состоянии перехитрить эту систему и для этого нужно лишь выставить перед вредоносным кодом частичный код любого фотоизображения и система будет обманута. Именно таким вот образом и поступил Андрей, когда осенью 2016 года он тестировал одно из приложений, а сервер Фейсбука признал фотоснимком созданный им файл, пропустил его и сгенерировал из него код.

Но все хорошо, что хорошо кончается. Ныне Фейсбук устранил эту проблему, а Андрей получил заслуженное вознаграждение за своё упорство и честность. Правда Андрей пока не сообщил интернет-сообществу, как он планирует потратить полученные им деньги, но наверняка они пойдут на полезное дело.

Также можно еще напомнить, что Андрей побил предыдущий рекорд выплат Фейсбука за нахождение уязвимости в его системе, когда два года назад некто Реджинальдо Сильва, работающий специалистом по кибербеопасности получил от компании на свой счет 33 500 долларов США.

Специально для mmgp

https://text.ru/antiplagiat/588275f89fb36
 
Последнее редактирование:

Sashok-by

Любитель
Регистрация
21.01.2017
Сообщения
285
Реакции
31
Поинты
0.000

Aliaksandre

ТОП-МАСТЕР
Регистрация
10.04.2014
Сообщения
9,576
Реакции
2,952
Поинты
0.200

Prosvetlenniy

МАСТЕР
Регистрация
20.01.2016
Сообщения
3,325
Реакции
1,401
Поинты
0.000
Facebook выплатил российскому программисту рекордные $40 тыс за найденную уязвимость


Доброго времени, друзья!

С интересом сообщаю вам, что администрация Facebook щедро отблагодарила российского программиста Андрея Леонова, выплатив ему рекордные $40 тыс за найденные им уязвимости, благодаря которым, взломщиком мог выполняться произвольный код на сервере соцсети. Об этом пишется Fortune, интересно что весь процесс обнаружения этих ошибок, был описан Леоновым в своём блоге.

Программист сообщил, что им был обнаружен сбой, когда он изучал методы обработки фотографий в Facebook. В соцсети используется сервис ImageMagick для уменьшения размеров изображений, на которых пользователи дают ссылки, а при загрузке на свой сервер проверяется только формат изображения — JPG, PNG или GIF, как написал Леонов. Типы файлов проверяются по первым байтам, что дает возможность под предлогом картинок маскировать любые другие файл, указал Леонов.

Андрей Леонов сообщил в Facebook относительно этой ошибке - еще 16 октября 2016 года, и уже 19 октября эту уязвимость устранили. А в начале ноября 2016 года Facebook выплатил награду программисту.

Представителями Facebook заявили Fortune, что вознаграждение Леонову оказалось самым большим за всё время, пока существовала программа вознаграждений за нахождение уязвимостей. Ранее самую крупную награду поучил бразильский программист Режиналдо Сильве, который нашел способы получить быстрый доступ к практически любому файлу на сервере соцсети. В 2014 году Сильве выплатили вознаграждение в $33 тыс.

Что думаете о вышеизложенном, друзья? Очень крутая и полезная идея у Facebook, относительно вознаграждений, за найденные уязвимости, как по мне! Жду ваших отзывов!

Специально для MMGP.COM
Автор Котенко Максим​
 
Последнее редактирование:

Ахелесов Пятак

Специалист
Регистрация
19.07.2016
Сообщения
463
Реакции
89
Поинты
0.040
Спустя два дня после того, как он сообщил о своей находке в Facebook, компания устранила уязвимость, а спустя еще десять дней перечислила Леонову $40 тыс
Молодцы, в яндексе например никогда не заплатили бы такие деньги простому юзеру
 

Brakoner

Профессионал
Регистрация
21.12.2010
Сообщения
1,117
Реакции
28
Поинты
0.000
сумма вроде как и рекордная, но как то слабо они оценили
Если отталкиваться от заявленной еще в 2013 году совместной с Майкрософт программе "Internet Bug Bounty program" вознаграждение предусматривалось от $300 до $5.000.В то время как Касперский в 2016 году заявил о программе "Bug Bounty" с наградой в $100000 за найденную уязвимость.А в 2015 году Гугл заявил о намерении заплатить премию от 333 до 8000 вечно зелеными за найденный баг в Андроиде.
 
Последнее редактирование:

Cryptomancer

Интересующийся
Регистрация
03.07.2018
Сообщения
90
Реакции
6
Поинты
0.000
Странно что facebook такое маленькое поощрение выдает. Может они ему работу предложили?
Не такое уж и маленькое вознаграждение. На годик неплохой жизни в России точно хватит. Да и такое сотрудничество выгодно всем
 

Brakoner

Профессионал
Регистрация
21.12.2010
Сообщения
1,117
Реакции
28
Поинты
0.000
Странно что facebook такое маленькое поощрение выдает.
А вот если-бы вы были в администрации фэйсбук,какое вознаграждение выдали-бы вы?При том на постоянной основе,со специального фонда организованного для таких целей . Думаю что руководство компании регулярно обсуждает величину поощрительного фонда при распределении доходов компании.
На годик неплохой жизни в России точно хватит.
Не думаю что это совсем ничего не значащие деньги даже по меркам США.Думаю что даже там на год не нищенского существования будет достаточно.
 
Последнее редактирование:
Сверху Снизу