Школьник получил $10 тыс. за ошибку Google





Уругвайский школьник Иезекииль Перейра «со скуки» наткнулся на баг, принесший ему $10 тыс., пишет Threatpost. Он возился с сервисами Google, используя Burp Suite для подмены заголовка хоста в запросе к серверу App Engine (*.appspot.com).

Большая часть попыток вернула «404», но на одном из внутренних сайтов — yaqs.googleplex.com, — внезапно обнаружилось отсутствие верификации по логину/паролю и отсутствие каких-либо намеков на защиту.

— Я нашел сайт в поиске Google, — говорит Перейра. — Запрос «site:googleplex.com» при включении отображения пропущенных результатов, «вернул» большой список среди которых и был YAQS.

«Внутри» Перейра увидел ссылки на «разные сервисы инфраструктуры Google», но о том, что он нашел что-то стоящее, ему сказала фраза «Google Confidential» в нижнем колонтитуле. По словам исследователя, он не стал забираться «вглубь» и сразу поставил Google в известность. Ответ от службы безопасности, в котором подтверждалось наличие уязвимости, Перейра получил через несколько часов.

В Google сообщили, что размер вознаграждения обусловлен тем, что команда безопасности компании «обнаружила несколько вариантов использования уязвимости для доступа к конфиденциальным данным». Перейра полагает, что Google мог обнаружить аналогичные ошибки в других внутренних сервисах.
Автор: Softodrom.ru
Дата: 11.08.2017


» Оставьте первым свой комментарий


Новости > Безопасность > Школьник получил $10 тыс. за ошибку Google
Все рубрики Новостей:
Топ-сегодня раздела Безопасность
Британские спецслужбы знали о слежке ФБР за хакером, остановившим WannaCry
Программист, известный под псевдонимом MalwareTech, стал известен благодаря тому, что временно остановил распространение вируса WannaCry
Россиянину грозит срок за хищение денег у белорусов через Интернет
Неработающий 21-летний гражданин Российской Федерации целенаправленно приехал в Белоруссию заниматься противоправной деятельностью
Мошенники атакуют пользователей гаджетов Apple
Мошенники собирают данные банковских карт и другую личную информацию, рассылая письма о несуществующей покупке
«Доктор Веб» рассказал, как защититься от трояна Petya
Червь-шифровальщик представляет серьезную опасность для персональных компьютеров, работающих под управлением Windows
Пароли более 1 млн пользователей «Яндекс.Почты» выложили в Сеть
В Интернете появилась база со списком логинов и паролей более 1 млн пользователей «Яндекс.Почты»
Новинки раздела Безопасность
Россиянину грозит срок за хищение денег у белорусов через Интернет
Неработающий 21-летний гражданин Российской Федерации целенаправленно приехал в Белоруссию заниматься противоправной деятельностью
Британские спецслужбы знали о слежке ФБР за хакером, остановившим WannaCry
Программист, известный под псевдонимом MalwareTech, стал известен благодаря тому, что временно остановил распространение вируса WannaCry
На пользователей торрентов совершено 15 миллионов атак за 1,5 года
Хакеры используют пиринговые сети для доставки вредоносного ПО двумя способами: компрометируя доверенные торрент-приложения или маскируя вредоносное содержимое в «раздачах»
Microsoft представила Coco Framework для повышения эффективности блокчейна
Существующий сейчас блокчейн-протокол требует сложных технологических разработок, чтобы обеспечить операционные потребности бизнеса и соответствовать нормам безопасности
Хакер обнародовал ключ дешифрования Secure Enclave в iPhone
Secure Enclave обрабатывает данные отпечатка пальца Touch ID, «подписывает» покупки, подтвержденные датчиком, или разблокирует телефон, проверяя отпечаток
Copyright © 1999-2017 Softodrom.ru
О перепечатках | RSS каналы | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
В Опере нет автоматического способа добавить поиск по Софтодрому.
Чтобы вручную добавить поиск по Софтодрому, нужно сделать следующее:
  1. Нажать Ctrl+F12.
  2. Выбрать вкладку «Поиск».
  3. Нажать «Добавить» (Add).
  4. В появившемся окне:
    1. Заполнить название (Softodrom.ru).
    2. Заполнить адрес: https://www.softodrom.ru/Поиск/?text=%s&qs
      Если нет поля «адрес», то кликнуть на «Подробнее».
    3. Остальные поля заполнить по желанию.
  5. Нажать «ОК».