Как поясняет издание, Леонов нашел в соцсети баг, позволяющий запускать на серверах Facebook произвольный код, загружая специальное изображение. Для этого необходимо было использовать обнаруженную в апреле 2016 года серьезную уязвимость в сервисе ImageMagick, предназначенном для быстрого масштабирования и конвертации изображений. Эта уязвимость была закрыта разработчиками ImageMagick в мае, однако сохранилась в ряде использующих ImageMagick веб-сервисов.
Как написал Леонов в своем блоге, в октябре прошлого года он тестировал некий ресурс, который перенаправил его на Facebook. В итоге обнаружилось, что серверы Facebook по-прежнему содержали уязвимость ImageTragick.
16 октября Леонов уведомил специалистов Facebook о найденной уязвимости и переслал им всю необходимую информацию. Через три дня дыра в безопасности соцсети была закрыта, а 4 ноября Facebook выплатила Леонову вознаграждение. В середине декабря представители соцсети одобрили разглашение информации об этом случае.
Отметим, что предыдущий рекорд премии от Facebook принадлежал специалисту по кибербезопасности Реджинальдо Сильве, которому соцсеть заплатила 33,5 тысячи долларов в 2014 году.