Русский след: за что «хакер» из России получил $40 тысяч от Facebook

Андрей Леонов — эксперт по кибербезопасности, которому социальная сеть Facebook выплатила рекордный гонорар $40 тыс. за найденную уязвимость. Чем занимаются «белые хакеры», как взломать Facebook и чего точно не стоит делать со своими паролями — об этом корреспонденту RBTH* рассказал сам Леонов.

Новость о том, что русский хакер взломал крупнейшую социальную сеть и получил за это награду, опубликовали многие мировые СМИ. В ответ Леонов настойчиво повторяет: «Я не хакер, я специалист по кибербезопасности».

Разница в том, что он играет на стороне «белых», то есть находит уязвимости в программах и рассказывает об этом разработчикам. «Главное правило у исследователей — это не лезть глубоко. Хакеры полезут дальше, а исследователи находят «точку входа» и говорят: «Всё, дальше разбирайтесь сами», — пояснил эксперт в интервью RBTH.

Андрей вырос в Санкт-Петербурге, учился в техническом вузе. Сейчас ему больше 30-ти: на своём возрасте заострять внимание он не хочет, как не хочет говорить о политике, скандалах вокруг взлома Демократической партии США и якобы стоящих за этим российских группировках.

«Русскими хакерами сейчас пугают, как водкой и медведями. Определённым людям нужен враг, чтобы оправдать те или иные действия. А невидимый враг очень удобен», — считает Леонов.

То, что Андрей в одиночку сделал для Facebook, — просто хобби, уверяет он: «Я работаю самостоятельно. Кто-то в покер играет, кто-то на рыбалку ездит. Я ищу уязвимости». 

«Один ответственный пользователь указал на мощный баг. Он получил за это $40 тыс.», — такое сообщение 17 января в Twitter разместил руководитель отдела информационной безопасности Facebook Алекс Стэмос. «Рад, что я один из тех, кто взломал Facebook», — написал Леонов в своём блоге после того, как узнал о вознаграждении от компании. До этого самым большим гонораром от социальной сети были $33,5 тыс., которые в 2014 году получил бразильский исследователь безопасности Реджинальдо Сильва.

В апреле прошлого года другие исследователи обнаружили уязвимость в одном из распространённых модулей по обработке изображений — ImageMagick. С его помощью, в частности, масштабируются и конвертируются изображения в новостной ленте Facebook.

Леонов обратил внимание, что функционал «расшарить новость на Facebook» берёт заглавное изображение новости со сторонних серверов. При этом оказалось, что ни сам Facebook, ни тем более библиотека ImageMagick не проверяли, действительно ли загруженный файл — изображение формата JPEG или что-то другое. «Заметив это, я не смог не проверить эту проблему — что некоторый сервис, в данном случае Facebook, обрабатывает, как он считает, картинку, которой я могу управлять и содержание которой могу изменять», — заявил эксперт.

Согласно классификации международного консорциума безопасности OWASP такая уязвимость имеет самый высокий рейтинг. Но её опасность во многом зависит от того, где исполняется этот код. «Давайте представим, что компьютер изолирован от интернета и всей инфраструктуры компании. Исполнение кода на нём не очень хорошо, но не смертельно. А если это будет компьютер, на котором будет доступ к базе данных пользователей, — это очень плохо», — отметил Леонов. Он связался с технической поддержкой социальной сети, и ошибку исправили в ноябре 2016 года.

Никаких трёхмерных визуализаций

Сейчас Андрей Леонов работает в отделе безопасности международной IT-компании SEMrush, которая разрабатывает инструменты для онлайн-маркетинга, а в свободное время сидит на краудсорсинговых платформах, где организации размещают заявки на тестирование продукта. На платформе Bugcrowd Леонов входит в топ-100 исследователей — среди клиентов этой и других платформ такие компании, как General Motors, Uber, Yahoo, Pinterest и Mail.ru.

По словам Андрея, после того как он нашёл уязвимость в Facebook, на него не посыпались предложения работы или заказы и он «останется тем, кем был».

В особую русскую школу или русский почерк Леонов не верит — есть просто умные ребята, которые много где рождаются. А уязвимости возможны везде, утверждает он: «Я пользуюсь обычным набором интернет-сервисов, которым пользуется любой человек. У меня нет Instagram, например, но не потому, что он плохой, — я просто не фотографирую еду и себя в лифте».

«Меня расстраивает тот факт, что у среднестатистического пользователя максимум три пароля: для всякой фигни, для важных сайтов, пароль от самой важной почты, на которую зарегистрированы все остальные аккаунты. И три — это в лучшем случае», — признался эксперт.

Правда, говоря о своём хобби — поиске уязвимостей, Леонов отметил, что в реальности это весьма скучный и незрелищный процесс. «Никаких трёхмерных визуализаций, как в фильмах про хакеров, там нет», — улыбнулся он.

Материал подготовлен для Russia Beyond the Headlines — проекта, который рассказывает о России иностранцам.