»сследователь получил $33,5 тыс€чи за обнаружение опасной у€звимости в Facebook

image

“еги: Facebook, у€звимость, вознаграждение

—оциальна€ сеть выплатила рекордное вознаграждение за брешь, позвол€ющую читать произвольные файлы на ее web-серверах.

—оциальна€ сеть Facebook выплатила вознаграждение в размере $33,5 тыс€ч независимому бразильскому исследователю безопасности –ежинальдо —ильве (Reginaldo Silva) за обнаружение опасной у€звимости, позвол€ющей потенциальным злоумышленникам читать произвольные файлы на web-серверах социальной сети.

Ёксперт сообщил администрации Facebook о том, что ему удалось обнаружить брешь еще в но€бре прошлого года. ќн рассказал разработчикам сервиса, что при помощи поддельного провайдера OpenID и специально сформированного запроса можно получить доступ к важной информации.

«ƒоклад был написан довольно подробно и к нему прилагалс€ PoC-код, что позволило нам с легкостью воспроизвести атаку», - следует из сообщени€ сообщества Facebook Bug Bounty.

—ам —ильва был склонен считать, что обнаруженна€ им у€звимость позвол€ет также удаленное выполнение произвольного кода, однако проверить это на практике до того, как социальна€ сеть выпустит исправление, он не успел.

¬месте с тем, опасность бреши сочли достаточно высокой, чтобы выплатить исследователю рекордное вознаграждение. ƒо этого самый большой поощрительный приз в размере $20 тыс€ч получил британский эксперт ƒжек ”иттон (Jack Whitton).†


или введите им€

CAPTCHA