Бразильский программист Режинальдо Силва (Reginaldo Silva), обнаруживший в Facebook опасную уязвимость, получил от соцсети 33,5 тысячи долларов США, передает ZDNet. Это самая высокая награда, выплаченная Facebook с момента запуска программы премирования разработчиков. Программа стартовала в 2011 году.
«Дыра», на которую указал Силва, связана с обработкой XML-документов в ходе «общения» Facebook с провайдером OpenID. Разработчик выяснил, что создав «фальшивого» провайдера и отправив в Facebook определенным образом составленный запрос, можно получить доступ (в режиме «только чтение») к веб-серверу компании.
Если бы об уязвимости узнали злоумышленники, они с ее помощью смогли бы читать файлы с ценной информацией, размещенные на серверах соцсети. Силва уведомил Facebook о «дыре» 19 ноября, и сотрудники соцсети, приняв во внимание опасность открытия, ликвидировали уязвимость в течение трех с половиной часов.
В комментариях к посту про Силву, опубликованному в сообществе Facebook Bug Bounty, многие пользователи заявили, что размер награды слишком мал для той опасности, которую представляла собой «дыра». Они указали, что если бы Силва решил продать свое открытие на хакерском «черном рынке», он получил бы гораздо больше.
Сам программист в своем блоге рассказал, что занимается поиском уязвимостей в OpenID с 2012 года. Он отыскал схожую «дыру» у Google, но так как атака с ее использованием имела бы менее серьезные последствия, чем в случае с Facebook, он получил от компании лишь пятьсот долларов.
До Силвы рекордсменом Facebook считался британец Джек Уиттон (Jack Whitton), который в июне 2013 года получил от соцсети за информацию об уязвимости 20 тысяч долларов США. Программы премирования «искателей дыр» есть у многих IT-компаний, включая Google, Microsoft и российскую «Яндекс».
