Google передал $10 тысяч школьнику за найденную в системах компании уязвимость

Олег Овечкин

Новостной редактор Rusbase

Расскажите друзьям
Олег Овечкин
Олег Овечкин

Школьник из Уругвая Эзекиль Перейра (Ezequiel Pereira) получил вознаграждение в $10 тысяч от Google за найденную уязвимость, которая позволяла получить доступ к конфиденциальным данным компании. Об этом пишет TheNextWeb.

В посте с подробным описанием своей работы Перейра рассказал, что использовал программу для поиска уязвимостей Burp Suite, чтобы подменить заголовок хоста (host header) и войти во внутренние приложения облачной системы App Engine, доступные только владельцам внутренних аккаунтов Google («имя@google.com»)

Серверы Google несколько раз отказали школьнику в доступе, однако сайт yaqs.googleplex.com его «пропустил» – перенаправил на страницу, которая, по его словам, содержала много «интересных разделов» о сервисах и инфраструктуре Google.

Школьник, однако, заметил, что в конце страницы была пометка «Google Confidential» («Только для сотрудников Google»), и решил не исследовать сайт, а передать информацию об уязвимости в Google.

По словам Перейры, он сообщил об этом компании 11 июля. В Google пообещали связаться с ним позже, и 4 августа вручили $10 тысяч. Уязвимость, по словам школьника, была удалена.

Какая именно информация была размещена на «взломанном» школьником сайте, в компании не раскрыли. Крупную компенсацию в компании объяснили тем, что заявка от Перейры позволила найти еще несколько похожих уязвимостей, которые могли бы привести к компрометации конфиденциальных данных.

Согласно описанию программы вознаграждений от Google, сумма в $10 тысяч присуждается за уязвимости, которые позволяют обойти «значительные меры безопасности» и получить доступ к аккаунту Google.

Чтобы вы не ошиблись при выборе, Rusbase рекомендует своим читателям надежных юристов и адвокатов.



Комментарии

Комментарии могут оставлять только авторизованные пользователи.
Sibos
16 октября 2017
Ещё события


Telegram канал @rusbase