Перейти к публикации
4.4.2
Draco-Zero

Школьник получил $10 000 за ошибку Google

Рекомендованные сообщения

Draco-Zero

На баг, принесший ему $10 000, уругвайский школьник Иезекииль Перейра, наткнулся «со скуки». Студент, мечтающий сделать карьеру в области информационной безопасности, возился с сервисами Google, используя Burp Suite для подмены заголовка хоста в запросе к серверу App Engine (*.appspot.com).

 

Большая часть попыток вернула «404», но на одном из внутренних сайтов — yaqs.googleplex.com, — внезапно обнаружилось отсутствие верификации по логину/паролю и отсутствие каких-либо намеков на защиту.

 

— Я нашел сайт в поиске Google, — говорит Перейра. — Запрос «site:googleplex.com» при включении отображения пропущенных результатов, «вернул» большой список среди которых и был YAQS.

 

«Внутри» Перейра увидел ссылки на «разные сервисы инфраструктуры Google», но о том, что он нашел что-то стоящее, ему сказала фраза «Google Confidential» в нижнем колонтитуле. По словам исследователя, он не стал забираться «вглубь» и сразу поставил Google в известность. Ответ от службы безопасности, в котором подтверждалось наличие уязвимости, Перейра получил через несколько часов.

 

Ошибка принесла гораздо более высокую награду, чем ожидал Перейра. «Тогда я подумал: «Круто! Это, наверное, небольшой баг, который не стоит ни копейки, просто техническая особенность, не имеющая большого значения», — пишет Перейра в своем блоге.

 

— Я ожидал максимум $500 и думал об этом, как об утечке какой-то внутренней информации, которая на самом деле не угрожала Google, — говорит школьник. — Я не знаю, что делать с деньгами. Может быть, съезжу куда-нибудь — всегда хотел увидеть Нью-Йорк, — или попробую инвестировать их.

 

Перейра рассказывает, что заинтересовался компьютерной безопасностью в 13 лет, когда хотел обмануть онлайн-игры и продолжил изучать эту тему после того, как игры ему наскучили. В разговоре с Threatpost школьник рассказал, что, у него есть учетная запись HackerOne, но он не часто использует ее, и что он уже нашел несколько ошибок на сайтах Google, но ни одна из них не была достаточно серьезной.

 

В Google сообщили, что размер вознаграждения обусловлен тем, что команда безопасности компании «обнаружила несколько вариантов использования уязвимости для доступа к конфиденциальным данным». Перейра полагает, что Google мог обнаружить аналогичные ошибки в других внутренних сервисах.

 

googlefooter.png.bafabecdc3d53fc9e45211e6fd9fddb9.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Восстановить форматирование

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.


  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу.

×
×
  • Создать...