اعطای بزرگ‌ترین پاداش فیس‌بوک به یک هکر

یک پژوهشگر روسی، متوجه اشکالی امنیتی در ابزار ویرایش عکس فیس‌بوک شده بود.

فیس‌بوک بزرگ‌ترین پاداش خود را به یک هکر کلاه‌سفید و به خاطر ارسال گزارش یک آسیب‌پذیری بحرانی، اعطا کرد. گفته می‌شود آقای اندرو لئونوف (یک پژوهشگر روسی در زمینه امنیت)، متوجه شده بود که فیس‌بوک در ImageMagick، در معرض یک نقص امنیتی در زمینه «اجرای کد از راه دور» می‌باشد. گفتنی است ایمجین‌ماجیک، یک ابزار نرم‌افزاری منبع‌باز و محبوب برای ویرایش عکس‌هاست. مطابق این گزارش، نقص گفته شده می‌توانست به هکرها این امکان را بدهد تا کدهای مخرب خود را در فایل‌های تصویری خود که در این سایت بارگذاری می‌کردند، پنهان نمایند. این باگ که در بهار گذشته کشف شد، موجب شده بود تا وب‌سایت‌های پرشماری که از نرم‌افزار ویرایش عکس ImageMagick استفاده می‌کنند، در معرض خطر قرار بگیرند. آقای لئونوف در ماه اکتبر که سرگرم کار با یک وب‌سایت دیگر غیر از فیس‌بوک بود، متوجه چنین خطری شد. ظن او وقتی قوی شد که با یک گزینه پاپ‌آپ «روی فیس‌بوک هم‌خوان کنید»، به فیس‌بوک رفت و بنابه دلایلی، عکس مورد نظر وی به درستی نشان داده نشد. او در ابتدا فکر می‌کرد که این مشکل مربوط به نوعی آسیب‌پذیری است که هکرها معمولاً در پشت دیوارهای آتشین، درخواست‌هایی ایجاد می‌کنند. او به بررسی خود ادامه داد تا متوجه مشکل اصلی شد و آن را با فیس‌بوک در میان گذاشت. شایان ذکر است که سال گذشته گروه امنیت فیس‌بوک تلاش کرد تا این مشکل را وصله‌زنی یا پچ کند؛ اما لئونوف متوجه شد که همچنان می‌تواند از راه دیگری این مشکل را برطرف نماید. گروه امنیت فیس‌بوک برای رفع این آسیب‌پذیری، تنها قوانینی به دیوار آتشین برنامه وب خود افزوده بودند. اما این اقدام، عاری از اشکال و خطا نبود؛ درست همان‌طور که لئونوف هم چند ماه بعد خاطرنشان کرد. فیس‌بوک نیز سرانجام به پاس این تلاش، به آقای لئونوف مبلغ ۴۰ هزار دلار پاداش داد.