به گزارش گرداب،فیسبوک بزرگترین پاداش خود را به یک هکر کلاهسفید و به خاطر ارسال گزارش یک آسیبپذیری بحرانی، اعطا کرد.
گفته میشود آقای اندرو لئونوف (یک پژوهشگر روسی در زمینه امنیت)، متوجه شده بود که فیسبوک در ImageMagick، در معرض یک نقص امنیتی در زمینه «اجرای کد از راه دور» میباشد.
گفتنی است ایمجینماجیک، یک ابزار نرمافزاری منبعباز و محبوب برای ویرایش عکسهاست.
مطابق این گزارش، نقص گفته شده میتوانست به هکرها این امکان را بدهد تا کدهای مخرب خود را در فایلهای تصویری خود که در این سایت بارگذاری میکردند، پنهان نمایند.
این باگ که در بهار گذشته کشف شد، موجب شده بود تا وبسایتهای پرشماری که از نرمافزار ویرایش عکس ImageMagick استفاده میکنند، در معرض خطر قرار بگیرند.
آقای لئونوف در ماه اکتبر که سرگرم کار با یک وبسایت دیگر غیر از فیسبوک بود، متوجه چنین خطری شد. ظن او وقتی قوی شد که با یک گزینه پاپآپ «روی فیسبوک همخوان کنید»، به فیسبوک رفت و بنابه دلایلی، عکس مورد نظر وی به درستی نشان داده نشد.
او در ابتدا فکر میکرد که این مشکل مربوط به نوعی آسیبپذیری است که هکرها معمولاً در پشت دیوارهای آتشین، درخواستهایی ایجاد میکنند. او به بررسی خود ادامه داد تا متوجه مشکل اصلی شد و آن را با فیسبوک در میان گذاشت.
شایان ذکر است که سال گذشته گروه امنیت فیسبوک تلاش کرد تا این مشکل را وصلهزنی یا پچ کند؛ اما لئونوف متوجه شد که همچنان میتواند از راه دیگری این مشکل را برطرف نماید.
گروه امنیت فیسبوک برای رفع این آسیبپذیری، تنها قوانینی به دیوار آتشین برنامه وب خود افزوده بودند. اما این اقدام، عاری از اشکال و خطا نبود؛ درست همانطور که لئونوف هم چند ماه بعد خاطرنشان کرد.
فیسبوک نیز سرانجام به پاس این تلاش، به آقای لئونوف مبلغ ۴۰ هزار دلار پاداش داد.
