Возврат к списку

Google заплатил пользователю за найденные уязвимости 15 тыс. долларов

01.11.2017     
Румынский эксперт по кибербезопасности Алекс Бирсан обнаружил в официальном трекере Google три серьезные бреши в безопасности, которые могли дать хакерам доступ к списку всех найденных уязвимостей в продуктах компании.

Дыры безопасности были найдены в Google Issue Tracker (также известном как Buganizer) – приложении для отслеживания сообщений об ошибках безопасности в продуктах компании.

«Buganizer является центральной системой отслеживания ошибок, поэтому весьма вероятно, что в ней также хранятся уязвимости внутренних систем Google. Я провел минимальное исследование, но могу сказать, что там куда более интересная информация, если покопаться», – рассказал Бирсан изданию Bleeping Computer.

По словам Бирсана, найденные им дыры и в защите системы позволяют получить доступ к базе обнаруженных уязвимостей, в том числе еще неисправленных. Обычно к сообщениям баг-трекера имеют доступ только сотрудники Google и эксперты в области уязвимостей. У простых пользователей может быть доступ только к отдельным веткам, в которых они сами оставили сообщение об ошибке. 

Как сообщает Бирсан, являющийся разработчиком на Python в румынской компании, специализирующейся на кибербезопасности, ошибки были выявлены им в период с 27 сентября по 4 октября. При этом он считает себя первым, кто их обнаружил, поскольку не нашел никаких следов использования уязвимостей злоумышленниками.

Всего было выявлено три проблемы:

  • Способ регистрации адреса электронной почты в домене @google.com с использованием общей схемы именования адресов электронной почты Buganizer. 
  • Способ подписки и получения уведомлений об ошибках, к которым у него не должно было быть доступа. 
  • Способ обмана API Buganizer, который может помочь получить доступ к каждой уязвимости.

В Google оперативно отреагировали на сообщение Бирсана об ошибке и выплатили исследователю 3 тыс. долларов за обнаружение первой уязвимости, 5 тыс. долларов – за вторую и 7,5 тыс. долларов за третью.




Автор:
Яна Казьмина Редактор ленты новостей


Комментарии
Избранное Подписка Сортировка: Древо
2. PerlAmutor 30 01.11.17 19:46 Сейчас в теме
(1) У меня ситуация похуже, я не могу рапортовать об ошибках вообще, т.к. мой работодатель зажал логин и пароль от ИТС. Когда я его просил мне выдать, то прозвучала фраза "скажи что тебе оттуда нужно, я скачаю". Сейчас хочется ему сказать, что уже как 2 года мне от него ничего не нужно. А когда он мне задает тупые вопросы по программированию хочется тактично отправить его читать ИТС со своим личным логином и паролем...
3. spezc 506 01.11.17 20:12 Сейчас в теме
(2) жесть, незавидную вам. что же вас держит?
9. PerlAmutor 30 01.11.17 21:19 Сейчас в теме
(3) собственный план на ближайшие год-два, который позволит рассчитывать на более выгодное предложение от потенциальных работодателей во время ухода, нежели чем сделать это сейчас, получить прибавку к ЗП в 1.5 раза и потом жить год-два в надежде что он её поднимет до желаемого уровня (что обычно никогда не происходит по инициативе руководства, богатый опыт в этом уже имеется).
dimisa; Rezident495; spezc; +3 Ответить
12. TODD22 17 02.11.17 09:42 Сейчас в теме
(2)
У меня ситуация похуже, я не могу рапортовать об ошибках вообще

Не много потеряли. Зарегистрировать ошибку то ещё удовольствие.

Как то по ошибке в УПП пришлось две недели переписывать с тех поддержкой. В первом же письме был описан способ воспроизведения ошибки, код который приводит к ошибке и как можно исправить. Потом две недели пришлось пробиваться через "Ошибка у нас не воспроизводится, пришлите вашу базу" хотя эта ошибка воспроизводилась даже в типовой демке.
Спустя две недели её зарегистрировали и исправили в следующем вышедшем релизе. С тех пор всё желание отправлять баг репорты отбили на прочь.

Похожая ситуация была когда разрабатывался один отраслевой продукт но под флагом вендора.
Там была проблема с функционалом. Приходилось так же по 2 недели объяснять людям которые отвечают за функционал что так как они придумали никто не работает. Спустя две недели переписок они с этим согласились и вместо того что бы сделать нормально прикрутили невероятный костыль который проблему не решал, а лишь немного упрощал работу. Вместо заполнения 10 реквизитов в 3х местах сделали заполнение 2х реквизитов в одном месте. Но при этом эту операцию вообще выполнять бы не надо. Но хоть так....
Rezident495; +1 Ответить
Оставьте свое сообщение

См. также