Google заплатил пользователю за найденные уязвимости 15 тыс. долларов

Дыры безопасности были найдены в Google Issue Tracker (также известном как Buganizer) – приложении для отслеживания сообщений об ошибках безопасности в продуктах компании.
«Buganizer является центральной системой отслеживания ошибок, поэтому весьма вероятно, что в ней также хранятся уязвимости внутренних систем Google. Я провел минимальное исследование, но могу сказать, что там куда более интересная информация, если покопаться», – рассказал Бирсан изданию Bleeping Computer.
По словам Бирсана, найденные им дыры и в защите системы позволяют получить доступ к базе обнаруженных уязвимостей, в том числе еще неисправленных. Обычно к сообщениям баг-трекера имеют доступ только сотрудники Google и эксперты в области уязвимостей. У простых пользователей может быть доступ только к отдельным веткам, в которых они сами оставили сообщение об ошибке.
Как сообщает Бирсан, являющийся разработчиком на Python в румынской компании, специализирующейся на кибербезопасности, ошибки были выявлены им в период с 27 сентября по 4 октября. При этом он считает себя первым, кто их обнаружил, поскольку не нашел никаких следов использования уязвимостей злоумышленниками.
Всего было выявлено три проблемы:
- Способ регистрации адреса электронной почты в домене @google.com с использованием общей схемы именования адресов электронной почты Buganizer.
- Способ подписки и получения уведомлений об ошибках, к которым у него не должно было быть доступа.
- Способ обмана API Buganizer, который может помочь получить доступ к каждой уязвимости.
В Google оперативно отреагировали на сообщение Бирсана об ошибке и выплатили исследователю 3 тыс. долларов за обнаружение первой уязвимости, 5 тыс. долларов – за вторую и 7,5 тыс. долларов за третью.
См. также
Умер создатель Objective-C. Расскажем о его вкладе в развитие языков программирования
29.01.2021 2446 user1015646 3
Разработчик может лишиться доступа к 280 млн долларов в биткоинах из-за забытого пароля
15.01.2021 1557 user1015646 7
Сотрудники на удаленке чувствуют себя более измотанными, чем при работе в офисе
02.11.2020 2766 capitan 13
Минфин раскритиковал планы Минкомсвязи по субсидированию онлайн-образования
22.05.2020 4901 VKuser24342747 1
Боремся с «ленивой самоизоляцией»: цикл публикаций от Елены Дуюн на Infostart.ru
20.05.2020 8304 user997184 1
Мир после коронавируса: российские компании не сохранят удаленку, США – наоборот
15.05.2020 5353 user1015646 9
Все.онлайн: в России запущен каталог бесплатных ресурсов для людей в самоизоляции
15.04.2020 4640 user1015646 0
Минкомсвязи представило приложение для получения QR-пропусков на время карантина
14.04.2020 7190 VKuser24342747 2
Александр Жаров ушел из Роскомнадзора ради должности гендиректора «Газпром-Медиа»
25.03.2020 5884 VKuser24342747 0
В России обсуждают введение нового вида занятости – удаленной работы
24.03.2020 5554 ЕленаЧерепнева 7
На карантине: Google Chrome перестанет получать обновления до апреля
23.03.2020 7306 VKuser24342747 6
Минкомсвязь не хочет компенсировать затраты операторов на «бесплатный» интернет
17.03.2020 5993 user1015646 6
Фельдшерам и учителям не хватило компьютеров для подключения к интернету
05.03.2020 5495 VKuser24342747 4
Умер Ларри Теслер – разработчик, придумавший команды «копировать», «вырезать» и «вставить»
25.02.2020 6319 user-programmist 6
Не на своем месте: суд оштрафовал Twitter и Facebook на 4 млн рублей
20.02.2020 5188 VKuser24342747 9
Чешские программисты бесплатно создали сайт, на который правительство хотело потратить 16 млн евро
03.02.2020 7077 user1015646 31
Лучше, чем Google: «Яндекс» возглавил рейтинг лучших работодателей для студентов в России
31.01.2020 6457 user1015646 6
Большие перемены: назначен новый министр по цифровому развитию и связи
28.01.2020 7739 user1015646 16