10-летний мальчик из Финляндии получил от Facebook $10 тыс. за обнаруженный в API Instagram баг, который позволял удалять комментарии из любого аккаунта.

Представители Facebook подтвердили, что паренек по имени Яни доложил о найденной уязвимости в конце февраля, а через несколько дней получил вознаграждение в рамках Bug Bounty. Награду за мальчика получила его мама — у юного исследователя пока нет банковского счета.

По словам Facebook, компания не знала о юном возрасте баг-хантера, пока его мать не отправила в Instagram сообщение с благодарностью за премию в $10 тыс. «Мама мальчика сказала, что очень рада, что подаренный прошлой осенью компьютер помог ее сыну заработать первые деньги. Мы даже не знали, сколько лет исследователю, пока она нам не сообщила. Мы были поражены: боже, ему всего 10 лет!» — комментирует представитель Facebook.

Финский новостной сайт Iltalehti сообщил, что часть премии Яни собирается потратить на футбольную экипировку, велосипед и компьютеры для братьев. До Яни самым молодым баг-хантером считался 13-летний подросток.

«То, что ему 10 лет, — нетривиальная ситуация. На самом деле он еще даже не достиг минимального возраста пользователя», — говорят в Facebook. Чисто технически Яни даже не заходил в аккаунт — обнаруженный им баг в API позволял удалять комментарии без регистрации.

Яни нашел уязвимость в механизме подтверждения возможности пользователя удалить свой же комментарий. Воспользовавшись изъяном, Яни смог удалять комментарии любых пользователей.

Данными о том, что баг эксплуатируется itw, у Facebook нет.

Facebook запустила программу Bug Bounty в 2011 году; с тех пор более 800 независимых исследователей получили в общей сложности $4,3 млн. Средний размер выплат составляет $1,8 тыс. Таким образом, Яни сразу попал в высшую лигу исследователей, зарабатывающих от $10 тыс.

В марте Facebook выплатила $15 тыс. индийскому ИБ-исследователю, нашедшему зияющую дыру в механизме сброса пароля: через эту брешь можно было взломать любой из 1,1 млрд аккаунтов Facebook при помощи тривиальной брутфорс-атаки. На тот момент представители соцсети заявляли, что $15 тыс. — это самая высокая премия, возможная в рамках Bug Bounty Facebook.

Что ждет Яни? В Iltalehti говорят, что он хочет быть ИБ-исследователем. «Это работа моей мечты. Безопасность — это очень важно», — заявил Яни.

Категории: Уязвимости