Здесь рождаются сайты
Контактные телефоны

Google заплатил ученику средней школы 10000$ за сообщение об уязвимости

14 августа 2017г.
Ученик средней школы из Уругвая получил вознаграждение в размере 10000$

Ученик средней школы из Уругвая получил вознаграждение в размере 10 000 долларов США (примерно 6,5 ларха), после того как он обнаружил и сообщил об уязвимости в Google.

Ученик Изекиель Перейра говорит, что он случайно со скуки узнал об уязвимости в прошлом месяце, когда он ковырялся в сервисах Google, используя Burp Suite, популярный инструмент тестирования безопасности в интернете.

После нескольких неудачных попыток Перейра сказал, что он наткнулся на yaqs.googleplex.com, внутреннюю веб-страницу, на которой не было проверки имени пользователя или пароля. На ресурсе googleplex.com были размещены несколько приложений Google App Engine.

«Домашняя страница веб-сайта перенаправила меня на « /eng », и эта страница была довольно интересной, в ней было много ссылок на разные разделы о службах и инфраструктуре Google, но перед тем, как посетить какой-либо раздел, я мог прочесть «Google Confidential» в нижнем колонтитуле.

«В этот момент я перестал шариться на веб-сайте и сразу сообщил об этом, даже не подумав о том, как лучше показать уязвимость, чем используя Burp», – писал Перейра.

Прикрепляя скриншоты к электронной переписке, Перейра сказал, что в тот же день он получил несколько ответов от группы безопасности Google, которые подтвердили, что ошибка, о которой он сообщал, действительно опасна.

Не слишком надеясь на какое-либо вознаграждение, Перейра говорит, что он был удивлен, когда через месяц команда Google сообщила ему, что ему будет выплачено 10000 долларов за его работу и что он сможет поделиться природой данной уязвимости с миром.

На данный момент Google устранила эту уязвимость. «Исправлена ошибка, и, по словам Google, большей наградой стало то, что они нашли несколько вариантов, которые позволили бы злоумышленнику получить доступ к конфиденциальным данным», – писал Перейра.

Прозрачность и желание вознаграждать независимых исследователей безопасности – одна из тех задач, над которыми работали компании Кремниевой долины. Google, Microsoft и Apple все чаще предлагают программы вознаграждения за выявление ошибок, в которых они поощряют людей сообщать о любых недостатках безопасности или конфиденциальности, которые они обнаруживают в любом из своих сервисов.

Источник: gadgets.ndtv.com
Вернуться назад
Связаться с нами
Заказать шаблон