Школьник получил $10 тыс. за ошибку Google





Уругвайский школьник Иезекииль Перейра «со скуки» наткнулся на баг, принесший ему $10 тыс., пишет Threatpost. Он возился с сервисами Google, используя Burp Suite для подмены заголовка хоста в запросе к серверу App Engine (*.appspot.com).

Большая часть попыток вернула «404», но на одном из внутренних сайтов — yaqs.googleplex.com, — внезапно обнаружилось отсутствие верификации по логину/паролю и отсутствие каких-либо намеков на защиту.

— Я нашел сайт в поиске Google, — говорит Перейра. — Запрос «site:googleplex.com» при включении отображения пропущенных результатов, «вернул» большой список среди которых и был YAQS.

«Внутри» Перейра увидел ссылки на «разные сервисы инфраструктуры Google», но о том, что он нашел что-то стоящее, ему сказала фраза «Google Confidential» в нижнем колонтитуле. По словам исследователя, он не стал забираться «вглубь» и сразу поставил Google в известность. Ответ от службы безопасности, в котором подтверждалось наличие уязвимости, Перейра получил через несколько часов.

В Google сообщили, что размер вознаграждения обусловлен тем, что команда безопасности компании «обнаружила несколько вариантов использования уязвимости для доступа к конфиденциальным данным». Перейра полагает, что Google мог обнаружить аналогичные ошибки в других внутренних сервисах.

Автор: Softodrom.ru
Дата:


» Оставьте первым свой комментарий


Новости > Безопасность > Школьник получил $10 тыс. за ошибку Google
Все рубрики статей:
Топ-сегодня: Безопасность
Топ-менеджер Qiwi сравнил биткоин с существованием Бога
Глава совета директоров платежной системы Qiwi Борис Ким прокомментировал мнение главы компании InfoWatch Натальи Касперской о том, что биткоин может являться разработкой американских военных
Эксперты развеяли миф о неуязвимости криптовалют и блокчейна
Криптовалюты являются самым популярным и привлекательным для хакеров применением технологии блокчейн
Касперская назвала биткоин «военной разработкой»
Глава компании InfoWatch Наталья Касперская считает биткоин «военной разработкой» и финансовой пирамидой
Британский школьник притворился главой ЦРУ и получил секретные данные
15-летний школьник признался в попытке взлома компьютеров экс-главы ЦРУ Джона Бреннана и других высокопоставленных американских чиновников
Клиника в США заплатила $55 000 за расшифровку своих файлов
Эксперты по информационной безопасности предупреждают, что в будущем подобная модель может получить большее распространение по сравнению с традиционными атаками на пользователей
Новые статьи: Безопасность
Топ-менеджер Qiwi сравнил биткоин с существованием Бога
Глава совета директоров платежной системы Qiwi Борис Ким прокомментировал мнение главы компании InfoWatch Натальи Касперской о том, что биткоин может являться разработкой американских военных
Эксперты развеяли миф о неуязвимости криптовалют и блокчейна
Криптовалюты являются самым популярным и привлекательным для хакеров применением технологии блокчейн
Британский школьник притворился главой ЦРУ и получил секретные данные
15-летний школьник признался в попытке взлома компьютеров экс-главы ЦРУ Джона Бреннана и других высокопоставленных американских чиновников
Касперская назвала биткоин «военной разработкой»
Глава компании InfoWatch Наталья Касперская считает биткоин «военной разработкой» и финансовой пирамидой
Клиника в США заплатила $55 000 за расшифровку своих файлов
Эксперты по информационной безопасности предупреждают, что в будущем подобная модель может получить большее распространение по сравнению с традиционными атаками на пользователей

Статистика | Рейтинги | Авторам | Реклама
Copyright © 1999-2018 Softodrom.ru
О перепечатках | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
В Опере нет автоматического способа добавить поиск по Софтодрому.
Чтобы вручную добавить поиск по Софтодрому, нужно сделать следующее:
  1. Нажать Ctrl+F12.
  2. Выбрать вкладку «Поиск».
  3. Нажать «Добавить» (Add).
  4. В появившемся окне:
    1. Заполнить название (Softodrom.ru).
    2. Заполнить адрес: https://www.softodrom.ru/Поиск/?text=%s&qs
      Если нет поля «адрес», то кликнуть на «Подробнее».
    3. Остальные поля заполнить по желанию.
  5. Нажать «ОК».