Российский программист получил рекордную сумму вознаграждения от Facebook. Компания выплатила жителю Санкт-Петербурга Андрею Леонову $40 тыс. — это почти 2,5 млн руб. — за то, что он нашел уязвимость в социальной сети, и — главное — сообщил о ней. Как еще мог поступить российский IT-специалист? И что именно он обнаружил? Разбирался Николай Матвеев.
Фото: Олег Харсеев, Коммерсантъ
Как сообщает издание Register, петербуржец, директор по безопасности международной маркетингово-аналитической компании Андрей Леонов выяснил, что Facebook использует уязвимые версии сервиса ImageMagick. Это группа программ, которые обрабатывают изображения. Брешь в безопасности позволяла хакерам на удаленном сервере выполнять любые команды, "спрятав" код в файле изображения. Успели ли злоумышленники воспользоваться возможностью, Facebook не уточняет. В мае 2016 года компания обнаружила уязвимость и, казалось, удалила ее. Однако в ноябре Андрей Леонов обошел защиту сайта. Он сразу сообщил об опасности администрации соцсети, через два дня проблему устранили. Тем самым Леонов приобщил себя к хакерству, правда, со знаком плюс, отметил IT-эксперт Александр Баулин.
"Это распространенная практика: все крупные компании — Microsoft, Google, Facebook — имеют свои программы для так называемых "белых хакеров", тех людей, которые ищут уязвимости в системах, но не используют их в собственных нуждах, а сообщают о них производителю. "Белые хакеры" не "сливают" эту информацию в общий доступ в течение определенного времени, чтобы дать производителю время исправить их", — пояснил он.
Эксперты отмечают, что крупным игрокам отрасли проще и дешевле платить за обнаружение ошибок, чем потом противостоять тем, кто решил воспользоваться проблемами в корыстных целях. Кроме коммерческой выгоды, злоумышленники могут использовать бреши таких гигантов, как Facebook, в целях пиара. К примеру, собрать пресс-конференцию, рассказать всем о проблемах, тем самым заявить о себе и подмочить репутацию компании, на восстановление которой уйдут уже миллионы долларов. Впрочем, не всегда крупные IT-компании благоразумны в своих решениях, считает аналитик инвестиционного холдинга "Финам" Леонид Делицын.
"У некоторых компаний политика такова, что есть адвокат, который сурово отчитает этого хакера, который нарушал определенные пункты правил использования сервиса, и расскажет ему, что дальнейшие подобные попытки создадут угрозу компании. В таком случае хакеру грозит суд", — сказал он.
В среднем за год Facebook выплачивает вознаграждение за обнаружение уязвимостей более чем 300 специалистам из 65 стран. Средний размер премии — $1,7 тыс. В тройку лидеров по нахождению уязвимостей входят эксперты из Индии, Египта и США. На четвертом месте — Великобритания, на пятом — Филиппины. Россия — во второй десятке. В целом год компания получает около 20 тыс. сообщений об ошибках. Платить за информацию — прерогатива больших компаний, пояснил генеральный директор компании Innova Геворк Саркисян.
"Выплата бонусов за обнаружение ошибок — это достаточно редкий кейс. Все IT-продукты имеют баги, ошибки. Очень редко кто-то платит за их обнаружение. По крайней мере, я с этим не сталкивался. Обычно в IT-компаниях свои сильные тестинговые команды, которые следят за всем. Кроме того, существует автоматическое тестирование", — заметил он.
Ошибке, которую нашел Андрей Леонов, был присвоен статус критической. Поэтому компания решила выплатить рекордный гонорар. Сам Андрей в интервью Hi-Tech@Mail.ru отметил, что на обнаружение уязвимости у него ушло не больше получаса.
По утверждению Леонова, на ошибку он наткнулся случайно, в процессе исследования стороннего сервиса. Он активно использует хакерскую блог-платформу Hackeronе.