Заработал на ошибках. Рекордный гонорар петербургскому хакеру выплатила соцсеть Facebook. Компания, основанная в 2004 году, входит в пятерку самых посещаемых сайтов в мире.

Сорок тысяч долларов Андрей Леонов получил за то, что нашел и затем сообщил представителям иностранной компании о серьезной ошибке в программном обеспечении. Она могла бы позволить получить доступ к каким-то данным. До этого самой крупной выплатой от Facebook'а считалась сумма в 33,5 тысячи долларов. В 2014-м ее вручили бразильскому специалисту по кибербезопасности. С глазу на глаз с российским хакером пообщалась Мария Евсюкова. 

— Андрей, вы уже не первый, кто получил от «Фейсбук» денежное вознаграждение! Расскажите, как отреагировала компания на ваше сообщение об их уязвимости?

Андрей Леонов, специалист по информационной безопасности: «Они не охали, не причитали. Там тоже профессионалы работают, достаточно оперативно работают, и в течение трех часов все исправили».

— В чем суть уязвимости, как она работала?!

Андрей Леонов, специалист по информационной безопасности: «Мне будет сложно объяснить. В «Фейсбуке» есть функция, которая позволяет распространить какую-то новость, написать, что что-то произошло в мире. Один параметр, который она принимает, — это ссылка на картинку. Вот именно эта картинка и обработчик и был уязвим, чтобы исполнить код. И с помощью этого формата можно было исполнить код на стороне сервера. А это самое страшное, что могло произойти на стороне сервера».

— Как вам удалось обнаружить эту недоработку, у вас были подозрения, как профессионала, или случайно нашли, как пользователь?

Андрей Леонов, специалист по информационной безопасности: «Любая находка по своей сути случайна. Специально был только тот факт, что я что-то искал. Как я писал в своем блоге, я тестировал другую систему, и на «Фейсбук» попал случайно».

— Как могла эта ошибка навредить безопасности обычных пользователей и их данным?

Андрей Леонов, специалист по информационной безопасности: «Чисто теоретически эта уязвимость могла позволить хакеру получить информацию, которая находилась на том сервере, где этот код исполнялся. Какую информацию, здесь сложно сказать».

— Я знаю, что хакеры делятся на белых и черных, вы поступили в случае с «Фейсбук», как белый, почему?

Андрей Леонов, специалист по информационной безопасности: «Я считаю себя специалистом по кибербезопасности, потому что каждому встречному объяснять, что хакер — это очень сложно. Есть такое понятие вайтхэт — белые шляпы — белые хакеры. Это те люди, которые находят уязвимости и сообщают о них не черному рынку, не используют со своей выгодой. Они это сообщают разработчикам-владельцам ресурса и получают или не получают вознаграждения. И просто рады, что все исправили».