Facebook a payé 40 000 $ de prime à ce pirate informatique !

0
9

Le chasseur de bogues Andrey Leonov affirme que Facebook lui a accordé une prime de bogue de 40 000 $ pour avoir obtenu l’exécution de code à distance sur ses serveurs à l’aide de la faille ImageMagick.

Facebook a payé 40 000 $ de prime à ce pirate informatique !

Tout d’abord, permettez-moi de vous parler d’ImageMagick. Il s’agit d’une suite logicielle gratuite et open source permettant d’afficher, de convertir et d’éditer des images raster et des fichiers d’images vectorielles. Il peut lire et écrire plus de 200 formats de fichiers image.

Tel que rapporté par The Register, une faille dans ImageMagick a été trouvée à la fin du 1er avril 2016, dans laquelle les outils pourraient être abusés pour permettre aux attaquants de télécharger des images malveillantes qui autorisent l’exécution de code à distance d’où de nombreux autres compromis, exfiltration de données et un mouvement latéral peut être possible.

Il semble maintenant qu’un pirate informatique ait obtenu l’exécution de code à distance sur ses serveurs en utilisant cette faille ImageMagick. Andrey Leonov a partagé un article de blog dans lequel il a révélé comment il a appris l’exécution de code à distance sur le serveur de Facebook en utilisant la faille.

Le pirate a donné tous les des détails, à l’exception de l’exploit de preuve de concept sensible. Les pirates prétendent qu’il a découvert la faille accidentellement lorsqu’un autre service vers Facebook l’a redirigé, puis il a décidé de vérifier si la faille ImageMagick n’avait pas été corrigée.

“Pour une preuve complète que l’exploit fonctionne, j’ai fourni à l’équipe de sécurité de Facebook le résultat de la sortie cat /proc/version qui ne sera pas publiée ici”

Andrey Leonov a déclaré : « Il était une fois samedi en octobre, je testais un gros service (pas Facebook) quand une redirection m’a suivi sur Facebook. C’était un dialogue « Partager sur Facebook » »,

« Je suis content d’être l’un de ceux qui ont cassé le Facebook ». Andrey Leonov affirme avoir reçu une prime de 40 000 $ de Facebook, ce qui ressemble à la prime la plus élevée payée par Facebook. Andrey Leonov a signalé la vulnérabilité le 16 octobre 2016, et il a obtenu la récompense le 28 octobre 2016.

Alors, que penses-tu de cela? Partagez votre point de vue dans la zone de commentaire ci-dessous.

LEAVE A REPLY

Please enter your comment!
Please enter your name here