Un hacker de origen ruso llamado Andrey Leonov, descubrió el pasado Octubre una falla en Facebook que permitía la ejecución de código remoto. Sin embargo, en condición de White Hat Hacker decidió reportar la falla a Facebook quien le recompensó con nada menos que $40,000.
Leonov explica, que la falla tiene que ver con la librería ImageMagick, utilizada en la mayoría de los servidores para el procesamiento de imágenes. En Abril del año pasado, se descubrió una falla en esta librería que causo un poco de controversia en la comunidad, hasta el punto de ganar el apodo de Tragick. Afortunadamente, la falla fue resuelta y todos los CMS que dependen de esta librería están seguros. El problema al parecer, es que Facebook no actualizó la liberaría.
Una tarde de un sábado de Octubre, describe Leonov, se encontraba navegando por otra web que lo redirigió a una imagen en Facebook. Fue cuando se percató de unos detalles en los que la imagen era servida y decidió investigar cuál versión de ImageMagick utilizaba Facebook. Al darse cuenta que la versión utilizaban aún presentaba la falla reportada en Abril, decidió ejecutar llevar a cabo la ejecución de código remoto utilizando este exploit, cosa que consiguió con éxito.
Leonov, sin embargo, decidió reportar la falla a Facebook de forma privada y no exponer los datos de millones de usuarios, que seguro hubiera resultado en la cereza del pastel para cerrar el 2016. Como recompensa, Facebook ofreció la suma de $40,000 Andrey Leonov, la más alta ofrecida por la red social a un hacker. En el 2014, Reginaldo Silva recibió la suma de $33,500 por haber reportado un exploit de ejecución remota similar.
A la fecha, Facebook ya ha parcheado ImageMagick y todos vuestros datos en la red social se encuentran seguros, por el momento.
