Социальная сеть Facebook выплатила вознаграждение в размере $33,5 тысяч независимому бразильскому исследователю безопасности Режинальдо Сильве (Reginaldo Silva) за обнаружение опасной уязвимости, позволяющей потенциальным злоумышленникам читать произвольные файлы на web-серверах социальной сети.
Эксперт сообщил администрации Facebook о том, что ему удалось обнаружить брешь еще в ноябре прошлого года. Он рассказал разработчикам сервиса, что при помощи поддельного провайдера OpenID и специально сформированного запроса можно получить доступ к важной информации.
«Доклад был написан довольно подробно и к нему прилагался PoC-код, что позволило нам с легкостью воспроизвести атаку», - следует из сообщения сообщества Facebook Bug Bounty.
Сам Сильва был склонен считать , что обнаруженная им уязвимость позволяет также удаленное выполнение произвольного кода, однако проверить это на практике до того, как социальная сеть выпустит исправление, он не успел.
Вместе с тем, опасность бреши сочли достаточно высокой, чтобы выплатить исследователю рекордное вознаграждение. До этого самый большой поощрительный приз в размере $20 тысяч получил британский эксперт Джек Уиттон (Jack Whitton).
