Школьник получил $10 тыс. за ошибку Google





Уругвайский школьник Иезекииль Перейра «со скуки» наткнулся на баг, принесший ему $10 тыс., пишет Threatpost. Он возился с сервисами Google, используя Burp Suite для подмены заголовка хоста в запросе к серверу App Engine (*.appspot.com).

Большая часть попыток вернула «404», но на одном из внутренних сайтов — yaqs.googleplex.com, — внезапно обнаружилось отсутствие верификации по логину/паролю и отсутствие каких-либо намеков на защиту.

— Я нашел сайт в поиске Google, — говорит Перейра. — Запрос «site:googleplex.com» при включении отображения пропущенных результатов, «вернул» большой список среди которых и был YAQS.

«Внутри» Перейра увидел ссылки на «разные сервисы инфраструктуры Google», но о том, что он нашел что-то стоящее, ему сказала фраза «Google Confidential» в нижнем колонтитуле. По словам исследователя, он не стал забираться «вглубь» и сразу поставил Google в известность. Ответ от службы безопасности, в котором подтверждалось наличие уязвимости, Перейра получил через несколько часов.

В Google сообщили, что размер вознаграждения обусловлен тем, что команда безопасности компании «обнаружила несколько вариантов использования уязвимости для доступа к конфиденциальным данным». Перейра полагает, что Google мог обнаружить аналогичные ошибки в других внутренних сервисах.
Автор: Softodrom.ru
Дата: 11.08.2017


» Оставьте первым свой комментарий


Новости > Безопасность > Школьник получил $10 тыс. за ошибку Google
Все рубрики Новостей:
Топ-сегодня раздела Безопасность
На анализ исходников «Лаборатории Касперского» может уйти несколько лет (и это все равно не поможет)
Предложенный «Лабораторией Касперского» аудит исходников – это удачный пиар-ход, но он вряд ли восстановит доверие к компании со стороны американцев
Пользователей macOS заразили через бесплатный плеер и менеджер закачек
Подобная схема уже использовалась ранее для распространения вредоносного ПО для macOS
«Лаборатория Касперского» откроет исходный код своего ПО для независимого анализа
«Лаборатория Касперского» запустила глобальную инициативу по информационной открытости
Майнер криптовалюты Coinhive идет навстречу пользователям
Coinhive позволяет монетизировать трафик сайтов, встраивая в код браузера майнер для популярной криптовалюты Monero
Программиста Левашова заочно арестовали в России
Обвиняемый в США в хакерстве программист Петр Левашов ранее заявил, что работал на «Единую Россию»
Новинки раздела Безопасность
На анализ исходников «Лаборатории Касперского» может уйти несколько лет (и это все равно не поможет)
Предложенный «Лабораторией Касперского» аудит исходников – это удачный пиар-ход, но он вряд ли восстановит доверие к компании со стороны американцев
Пользователей macOS заразили через бесплатный плеер и менеджер закачек
Подобная схема уже использовалась ранее для распространения вредоносного ПО для macOS
«Лаборатория Касперского» откроет исходный код своего ПО для независимого анализа
«Лаборатория Касперского» запустила глобальную инициативу по информационной открытости
В список экстремистских материалов впервые включили видео из сообщения мессенджера
Мессенджерам потребовалось 10 лет на признание сообщений в них экстремизмом
Майнер криптовалюты Coinhive идет навстречу пользователям
Coinhive позволяет монетизировать трафик сайтов, встраивая в код браузера майнер для популярной криптовалюты Monero
Copyright © 1999-2017 Softodrom.ru
О перепечатках | RSS каналы | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
В Опере нет автоматического способа добавить поиск по Софтодрому.
Чтобы вручную добавить поиск по Софтодрому, нужно сделать следующее:
  1. Нажать Ctrl+F12.
  2. Выбрать вкладку «Поиск».
  3. Нажать «Добавить» (Add).
  4. В появившемся окне:
    1. Заполнить название (Softodrom.ru).
    2. Заполнить адрес: https://www.softodrom.ru/Поиск/?text=%s&qs
      Если нет поля «адрес», то кликнуть на «Подробнее».
    3. Остальные поля заполнить по желанию.
  5. Нажать «ОК».