Школьник получил $10 000 за ошибку Google

[sugar 4]

На баг, принесший ему $10 000, уругвайский школьник Иезекииль Перейра, наткнулся «со скуки». Студент, мечтающий сделать карьеру в области информационной безопасности, возился с сервисами Google, используя Burp Suite для подмены заголовка хоста в запросе к серверу App Engine (*.appspot.com).



Большая часть попыток вернула «404», но на одном из внутренних сайтов — yaqs.googleplex.com, — внезапно обнаружилось отсутствие верификации по логину/паролю и отсутствие каких-либо намеков на защиту.



— Я нашел сайт в поиске Google, — говорит Перейра. — Запрос «site:googleplex.com» при включении отображения пропущенных результатов, «вернул» большой список среди которых и был YAQS.



«Внутри» Перейра увидел ссылки на «разные сервисы инфраструктуры Google», но о том, что он нашел что-то стоящее, ему сказала фраза «Google Confidential» в нижнем колонтитуле. По словам исследователя, он не стал забираться «вглубь» и сразу поставил Google в известность. Ответ от службы безопасности, в котором подтверждалось наличие уязвимости, Перейра получил через несколько часов.



Ошибка принесла гораздо более высокую награду, чем ожидал Перейра. «Тогда я подумал: «Круто! Это, наверное, небольшой баг, который не стоит ни копейки, просто техническая особенность, не имеющая большого значения», — пишет Перейра в своем блоге.



— Я ожидал максимум $500 и думал об этом, как об утечке какой-то внутренней информации, которая на самом деле не угрожала Google, — говорит школьник. — Я не знаю, что делать с деньгами. Может быть, съезжу куда-нибудь — всегда хотел увидеть Нью-Йорк, — или попробую инвестировать их.



Перейра рассказывает, что заинтересовался компьютерной безопасностью в 13 лет, когда хотел обмануть онлайн-игры и продолжил изучать эту тему после того, как игры ему наскучили. В разговоре с Threatpost школьник рассказал, что, у него есть учетная запись HackerOne, но он не часто использует ее, и что он уже нашел несколько ошибок на сайтах Google, но ни одна из них не была достаточно серьезной.



В Google сообщили, что размер вознаграждения обусловлен тем, что команда безопасности компании «обнаружила несколько вариантов использования уязвимости для доступа к конфиденциальным данным». Перейра полагает, что Google мог обнаружить аналогичные ошибки в других внутренних сервисах.

[G1ovane 0]

Кажется я начинаю завидовать сей школьлнику.

А он - красава!

[Zabar 0]

А если бы в Яндексе нашел, то пиздюлей бы дали xD

[Прост 0]

Интересная инфа. Только я представляю откуда эти бабки были взяты Гуглом?  Это ж пару десятков прикормленных домашних спецов в конторе получили штрафы именно по такой сумме, за то что просмотрели?!

[Bign 0]

Пфф а баг то легкий

[Clever 0]

Zabar (26 August 2017 - 13:19) писал:

А если бы в Яндексе нашел, то пиздюлей бы дали xD

ахаха, реально)

[toreevkot 0]

завидую)

[SemenZamanal 0]

Zabar (26 August 2017 - 13:19) писал:

А если бы в Яндексе нашел, то пиздюлей бы дали xD

реально)))

[Ruby_x 1]

Zabar (26 August 2017 - 13:19) писал:

А если бы в Яндексе нашел, то пиздюлей бы дали xD

яндекс кстате нормально платил в свое время за баги

[ПрофесорГуглов 0]

НУ молодец)) Взломал меня ))

[Aimxxx 3]

ПрофесорГуглов (06 November 2017 - 17:56) писал:

НУ молодец)) Взломал меня ))

Мамкин юморист

[luckluckluck 0]

Школьник - красавчик, ну реально.