Школьник из Уругвая Эзекиль Перейра (Ezequiel Pereira) получил вознаграждение в $10 тысяч от Google за найденную уязвимость, которая позволяла получить доступ к конфиденциальным данным компании. Об этом пишет TheNextWeb.
В посте с подробным описанием своей работы Перейра рассказал, что использовал программу для поиска уязвимостей Burp Suite, чтобы подменить заголовок хоста (host header) и войти во внутренние приложения облачной системы App Engine, доступные только владельцам внутренних аккаунтов Google («имя@google.com»)
Серверы Google несколько раз отказали школьнику в доступе, однако сайт yaqs.googleplex.com его «пропустил» – перенаправил на страницу, которая, по его словам, содержала много «интересных разделов» о сервисах и инфраструктуре Google.
Школьник, однако, заметил, что в конце страницы была пометка «Google Confidential» («Только для сотрудников Google»), и решил не исследовать сайт, а передать информацию об уязвимости в Google.
По словам Перейры, он сообщил об этом компании 11 июля. В Google пообещали связаться с ним позже, и 4 августа вручили $10 тысяч. Уязвимость, по словам школьника, была удалена.
Какая именно информация была размещена на «взломанном» школьником сайте, в компании не раскрыли. Крупную компенсацию в компании объяснили тем, что заявка от Перейры позволила найти еще несколько похожих уязвимостей, которые могли бы привести к компрометации конфиденциальных данных.
Согласно описанию программы вознаграждений от Google, сумма в $10 тысяч присуждается за уязвимости, которые позволяют обойти «значительные меры безопасности» и получить доступ к аккаунту Google.
Нашли опечатку? Выделите текст и нажмите Ctrl + Enter
Материалы по теме
- 1 Российские школьники победили на международной олимпиаде по химии в Казахстане
- 2 Российские школьники победили на международной олимпиаде по информатике
- 3 Второкурсница из Москвы создала дисплей панорамного отображения
- 4 11-классник из Москвы стал абсолютным победителем Международной Менделеевской олимпиады
- 5 Как за год вырасти из прототипа в стартап с оценкой в $10 млн
ВОЗМОЖНОСТИ
21 марта 2024
25 марта 2024
27 марта 2024