Перейти к публикации
4.3.6
Draco-Zero

Школьник получил $10 000 за ошибку Google

Рекомендованные сообщения

Draco-Zero

На баг, принесший ему $10 000, уругвайский школьник Иезекииль Перейра, наткнулся «со скуки». Студент, мечтающий сделать карьеру в области информационной безопасности, возился с сервисами Google, используя Burp Suite для подмены заголовка хоста в запросе к серверу App Engine (*.appspot.com).

 

Большая часть попыток вернула «404», но на одном из внутренних сайтов — yaqs.googleplex.com, — внезапно обнаружилось отсутствие верификации по логину/паролю и отсутствие каких-либо намеков на защиту.

 

— Я нашел сайт в поиске Google, — говорит Перейра. — Запрос «site:googleplex.com» при включении отображения пропущенных результатов, «вернул» большой список среди которых и был YAQS.

 

«Внутри» Перейра увидел ссылки на «разные сервисы инфраструктуры Google», но о том, что он нашел что-то стоящее, ему сказала фраза «Google Confidential» в нижнем колонтитуле. По словам исследователя, он не стал забираться «вглубь» и сразу поставил Google в известность. Ответ от службы безопасности, в котором подтверждалось наличие уязвимости, Перейра получил через несколько часов.

 

Ошибка принесла гораздо более высокую награду, чем ожидал Перейра. «Тогда я подумал: «Круто! Это, наверное, небольшой баг, который не стоит ни копейки, просто техническая особенность, не имеющая большого значения», — пишет Перейра в своем блоге.

 

— Я ожидал максимум $500 и думал об этом, как об утечке какой-то внутренней информации, которая на самом деле не угрожала Google, — говорит школьник. — Я не знаю, что делать с деньгами. Может быть, съезжу куда-нибудь — всегда хотел увидеть Нью-Йорк, — или попробую инвестировать их.

 

Перейра рассказывает, что заинтересовался компьютерной безопасностью в 13 лет, когда хотел обмануть онлайн-игры и продолжил изучать эту тему после того, как игры ему наскучили. В разговоре с Threatpost школьник рассказал, что, у него есть учетная запись HackerOne, но он не часто использует ее, и что он уже нашел несколько ошибок на сайтах Google, но ни одна из них не была достаточно серьезной.

 

В Google сообщили, что размер вознаграждения обусловлен тем, что команда безопасности компании «обнаружила несколько вариантов использования уязвимости для доступа к конфиденциальным данным». Перейра полагает, что Google мог обнаружить аналогичные ошибки в других внутренних сервисах.

 

googlefooter.png.bafabecdc3d53fc9e45211e6fd9fddb9.png

  • Нравится 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас

  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу.

×