Авторизация  
sugar

Школьник получил $10 000 за ошибку Google

В теме 12 сообщений


На баг, принесший ему $10 000, уругвайский школьник Иезекииль Перейра, наткнулся «со скуки». Студент, мечтающий сделать карьеру в области информационной безопасности, возился с сервисами Google, используя Burp Suite для подмены заголовка хоста в запросе к серверу App Engine (*.appspot.com).



Большая часть попыток вернула «404», но на одном из внутренних сайтов — yaqs.googleplex.com, — внезапно обнаружилось отсутствие верификации по логину/паролю и отсутствие каких-либо намеков на защиту.



— Я нашел сайт в поиске Google, — говорит Перейра. — Запрос «site:googleplex.com» при включении отображения пропущенных результатов, «вернул» большой список среди которых и был YAQS.



«Внутри» Перейра увидел ссылки на «разные сервисы инфраструктуры Google», но о том, что он нашел что-то стоящее, ему сказала фраза «Google Confidential» в нижнем колонтитуле. По словам исследователя, он не стал забираться «вглубь» и сразу поставил Google в известность. Ответ от службы безопасности, в котором подтверждалось наличие уязвимости, Перейра получил через несколько часов.



Ошибка принесла гораздо более высокую награду, чем ожидал Перейра. «Тогда я подумал: «Круто! Это, наверное, небольшой баг, который не стоит ни копейки, просто техническая особенность, не имеющая большого значения», — пишет Перейра в своем блоге.



— Я ожидал максимум $500 и думал об этом, как об утечке какой-то внутренней информации, которая на самом деле не угрожала Google, — говорит школьник. — Я не знаю, что делать с деньгами. Может быть, съезжу куда-нибудь — всегда хотел увидеть Нью-Йорк, — или попробую инвестировать их.



Перейра рассказывает, что заинтересовался компьютерной безопасностью в 13 лет, когда хотел обмануть онлайн-игры и продолжил изучать эту тему после того, как игры ему наскучили. В разговоре с Threatpost школьник рассказал, что, у него есть учетная запись HackerOne, но он не часто использует ее, и что он уже нашел несколько ошибок на сайтах Google, но ни одна из них не была достаточно серьезной.



В Google сообщили, что размер вознаграждения обусловлен тем, что команда безопасности компании «обнаружила несколько вариантов использования уязвимости для доступа к конфиденциальным данным». Перейра полагает, что Google мог обнаружить аналогичные ошибки в других внутренних сервисах.



Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Кажется я начинаю завидовать сей школьлнику.

А он - красава!



Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Интересная инфа. Только я представляю откуда эти бабки были взяты Гуглом?  Это ж пару десятков прикормленных домашних спецов в конторе получили штрафы именно по такой сумме, за то что просмотрели?!



Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Просмотр сообщенияZabar (26 August 2017 - 13:19) писал:


А если бы в Яндексе нашел, то пиздюлей бы дали xD

ахаха, реально)



Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Просмотр сообщенияZabar (26 August 2017 - 13:19) писал:


А если бы в Яндексе нашел, то пиздюлей бы дали xD

реально)))



Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Просмотр сообщенияZabar (26 August 2017 - 13:19) писал:


А если бы в Яндексе нашел, то пиздюлей бы дали xD

яндекс кстате нормально платил в свое время за баги



Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

НУ молодец)) Взломал меня ))



Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Просмотр сообщенияПрофесорГуглов (06 November 2017 - 17:56) писал:


НУ молодец)) Взломал меня ))

Мамкин юморист



Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
Авторизация