Facebook выплатил крупную премию за обнаружение опасной уязвимости
Макгруп McGrp.ru
Зарегистрироваться
8 лет назад

Facebook выплатил крупную премию за обнаружение опасной уязвимости

Facebook выплатил крупную премию за обнаружение опасной уязвимости Фото 0

Как сообщает ZDNet, программист Режинальдо Силва (Reginaldo Silva) из Бразилии, который обнаружил в Facebook опасную уязвимость, получил от этой социальной сети 33,5 тысячи долларов США. Как стало известно журналистам, это следует считать самой высокой наградой, которая была выплачена Facebook с тех пор, как была разработана и запущена программа премирования разработчиков. Сама программа поощрения взяла старт в 2011 году.
 
Режинальдо Силва обратил внимание на определенную «дыру» (и указал на нее представителям Facebook), связанную с процессом обработки XML-документов, когда Facebook «общается» с провайдером OpenID. Режинальдо Силва смог установить, что можно создать «ложного» провайдера и через него отправить в Facebook определенным образом составленный запрос. В итоге это позволяет потом иметь доступ (в режиме «только чтение») к веб-серверу компании.
 
Представить трудно, что могло случиться, если бы про эту Ахиллесову пяту соцсети смогли бы узнать злоумышленники. Тогда они, используя эту уязвимость, смогли бы свободно читать файлы с ценной информацией, размещенные на серверах данной социальной сети. 
 
Режинальдо Силва сообщил в Facebook о том, что он обнаружил указанную «дыру» 19 ноября прошлого года. Сотрудники социальной сети сразу приняли во внимание опасность открытия. Они оперативно избавились от уязвимости. Причем для этого им понадобилось всего три с половиной часа.
 
В комментариях к посту про Режинальдо Силву, который был опубликован в сообществе Facebook Bug Bounty, многие пользователи посчитали необходимым сделать собственное заявление. Суть сказанного ими сводилась к тому, чтобы размер награды следует увеличить. По их мнению, он слишком мал для той опасности, которую представляла собой обнаруженная Силву «дыра». Они не были голословны и привели свои аргументы, указав, что если бы Режинальдо Силва задумал продать свое открытие на «черном рынке» хакеров, то он имел бы от этого огромную прибыль.
 
Программист, который привлек к себе такое внимание, в своем блоге написал, что специализируется на поиске уязвимостей в OpenID с 2012 года. Он уже нашел подобную «дыру» у Google. Однако, из-за того, что атака с ее использованием привела бы к менее серьезным последствиям, чем в случае с Facebook, то он получил в награду от компании только пятьсот долларов США.
 
До Режинальдо Силвы рекордсменом Facebook являлся Джек Уиттон (Jack Whitton) из Великобритании. Это он в июне минувшего года получил от социальной сети за сведения об определенной уязвимости 20 тысяч долларов США.