Перейти к содержимому

Фотография

Школьник получил $10 000 за ошибку Google


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 4

#1 Jersey

Jersey

    МЕСТНЫЙ

  • 44 topics
  • Пользователь
  • PipPipPip
  • 404 сообщений

Отправлено 21 November 2017 - 06:10 AM

На баг, принесший ему $10 000, уругвайский школьник Иезекииль Перейра, наткнулся «со скуки». Студент, мечтающий сделать карьеру в области информационной безопасности, возился с сервисами Google, используя Burp Suite для подмены заголовка хоста в запросе к серверу App Engine (*.appspot.com).
 
Большая часть попыток вернула «404», но на одном из внутренних сайтов — yaqs.googleplex.com, — внезапно обнаружилось отсутствие верификации по логину/паролю и отсутствие каких-либо намеков на защиту.
 
— Я нашел сайт в поиске Google, — говорит Перейра. — Запрос «site:googleplex.com» при включении отображения пропущенных результатов, «вернул» большой список среди которых и был YAQS.
 
«Внутри» Перейра увидел ссылки на «разные сервисы инфраструктуры Google», но о том, что он нашел что-то стоящее, ему сказала фраза «Google Confidential» в нижнем колонтитуле. По словам исследователя, он не стал забираться «вглубь» и сразу поставил Google в известность. Ответ от службы безопасности, в котором подтверждалось наличие уязвимости, Перейра получил через несколько часов.
 
Ошибка принесла гораздо более высокую награду, чем ожидал Перейра. «Тогда я подумал: «Круто! Это, наверное, небольшой баг, который не стоит ни копейки, просто техническая особенность, не имеющая большого значения», — пишет Перейра в своем блоге.
 
— Я ожидал максимум $500 и думал об этом, как об утечке какой-то внутренней информации, которая на самом деле не угрожала Google, — говорит школьник. — Я не знаю, что делать с деньгами. Может быть, съезжу куда-нибудь — всегда хотел увидеть Нью-Йорк, — или попробую инвестировать их.
 
Перейра рассказывает, что заинтересовался компьютерной безопасностью в 13 лет, когда хотел обмануть онлайн-игры и продолжил изучать эту тему после того, как игры ему наскучили. В разговоре с Threatpost школьник рассказал, что, у него есть учетная запись HackerOne, но он не часто использует ее, и что он уже нашел несколько ошибок на сайтах Google, но ни одна из них не была достаточно серьезной.
 
В Google сообщили, что размер вознаграждения обусловлен тем, что команда безопасности компании «обнаружила несколько вариантов использования уязвимости для доступа к конфиденциальным данным». Перейра полагает, что Google мог обнаружить аналогичные ошибки в других внутренних сервисах. 

  • 0

#2 Ивановна

Ивановна

    МЕСТНЫЙ

  • 51 topics
  • Пользователь
  • PipPipPip
  • 445 сообщений

Отправлено 21 November 2017 - 08:49 AM

бывает и такое 


  • 0

#3 strong

strong

    МЕСТНЫЙ

  • 42 topics
  • Пользователи
  • PipPipPip
  • 438 сообщений

Отправлено 21 November 2017 - 08:24 PM

Блин чего не я на его месте.Обидно что кому то так везёт.


  • 0

#4 Вадим174

Вадим174

    МЕСТНЫЙ

  • 53 topics
  • Пользователь
  • PipPipPip
  • 434 сообщений

Отправлено 24 November 2017 - 08:03 PM

Жизнь не справедливая штука.


  • 0

#5 kosmichik

kosmichik

    МЕСТНЫЙ

  • 54 topics
  • Пользователи
  • PipPipPip
  • 891 сообщений

Отправлено 26 November 2017 - 09:46 PM

Да хорошая однако ошибка.


  • 0




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных