Google заплатил пользователю за найденные уязвимости 15 тыс. долларов

01.11.2017      16693
Румынский эксперт по кибербезопасности Алекс Бирсан обнаружил в официальном трекере Google три серьезные бреши в безопасности, которые могли дать хакерам доступ к списку всех найденных уязвимостей в продуктах компании.

Дыры безопасности были найдены в Google Issue Tracker (также известном как Buganizer) – приложении для отслеживания сообщений об ошибках безопасности в продуктах компании.

«Buganizer является центральной системой отслеживания ошибок, поэтому весьма вероятно, что в ней также хранятся уязвимости внутренних систем Google. Я провел минимальное исследование, но могу сказать, что там куда более интересная информация, если покопаться», – рассказал Бирсан изданию Bleeping Computer.

По словам Бирсана, найденные им дыры и в защите системы позволяют получить доступ к базе обнаруженных уязвимостей, в том числе еще неисправленных. Обычно к сообщениям баг-трекера имеют доступ только сотрудники Google и эксперты в области уязвимостей. У простых пользователей может быть доступ только к отдельным веткам, в которых они сами оставили сообщение об ошибке. 

Как сообщает Бирсан, являющийся разработчиком на Python в румынской компании, специализирующейся на кибербезопасности, ошибки были выявлены им в период с 27 сентября по 4 октября. При этом он считает себя первым, кто их обнаружил, поскольку не нашел никаких следов использования уязвимостей злоумышленниками.

Всего было выявлено три проблемы:

  • Способ регистрации адреса электронной почты в домене @google.com с использованием общей схемы именования адресов электронной почты Buganizer. 
  • Способ подписки и получения уведомлений об ошибках, к которым у него не должно было быть доступа. 
  • Способ обмана API Buganizer, который может помочь получить доступ к каждой уязвимости.

В Google оперативно отреагировали на сообщение Бирсана об ошибке и выплатили исследователю 3 тыс. долларов за обнаружение первой уязвимости, 5 тыс. долларов – за вторую и 7,5 тыс. долларов за третью.




Автор:
Редактор ленты новостей


Комментарии
В избранное Подписаться на ответы Сортировка: Древо развёрнутое
Свернуть все
1. пользователь 01.11.17 19:16
Сообщение было скрыто модератором.
...
2. PerlAmutor 129 01.11.17 19:46 Сейчас в теме
(1) У меня ситуация похуже, я не могу рапортовать об ошибках вообще, т.к. мой работодатель зажал логин и пароль от ИТС. Когда я его просил мне выдать, то прозвучала фраза "скажи что тебе оттуда нужно, я скачаю". Сейчас хочется ему сказать, что уже как 2 года мне от него ничего не нужно. А когда он мне задает тупые вопросы по программированию хочется тактично отправить его читать ИТС со своим личным логином и паролем...
3. spezc 757 01.11.17 20:12 Сейчас в теме
(2) жесть, незавидную вам. что же вас держит?
9. PerlAmutor 129 01.11.17 21:19 Сейчас в теме
(3) собственный план на ближайшие год-два, который позволит рассчитывать на более выгодное предложение от потенциальных работодателей во время ухода, нежели чем сделать это сейчас, получить прибавку к ЗП в 1.5 раза и потом жить год-два в надежде что он её поднимет до желаемого уровня (что обычно никогда не происходит по инициативе руководства, богатый опыт в этом уже имеется).
dimisa; Rezident495; spezc; +3 Ответить
12. TODD22 18 02.11.17 09:42 Сейчас в теме
(2)
У меня ситуация похуже, я не могу рапортовать об ошибках вообще

Не много потеряли. Зарегистрировать ошибку то ещё удовольствие.

Как то по ошибке в УПП пришлось две недели переписывать с тех поддержкой. В первом же письме был описан способ воспроизведения ошибки, код который приводит к ошибке и как можно исправить. Потом две недели пришлось пробиваться через "Ошибка у нас не воспроизводится, пришлите вашу базу" хотя эта ошибка воспроизводилась даже в типовой демке.
Спустя две недели её зарегистрировали и исправили в следующем вышедшем релизе. С тех пор всё желание отправлять баг репорты отбили на прочь.

Похожая ситуация была когда разрабатывался один отраслевой продукт но под флагом вендора.
Там была проблема с функционалом. Приходилось так же по 2 недели объяснять людям которые отвечают за функционал что так как они придумали никто не работает. Спустя две недели переписок они с этим согласились и вместо того что бы сделать нормально прикрутили невероятный костыль который проблему не решал, а лишь немного упрощал работу. Вместо заполнения 10 реквизитов в 3х местах сделали заполнение 2х реквизитов в одном месте. Но при этом эту операцию вообще выполнять бы не надо. Но хоть так....
Rezident495; +1 Ответить
4. пользователь 01.11.17 20:46
Сообщение было скрыто модератором.
...
5. пользователь 01.11.17 20:47
Сообщение было скрыто модератором.
...
6. пользователь 01.11.17 20:48
Сообщение было скрыто модератором.
...
7. пользователь 01.11.17 20:52
Сообщение было скрыто модератором.
...
8. пользователь 01.11.17 20:56
Сообщение было скрыто модератором.
...
10. пользователь 02.11.17 03:35
Сообщение было скрыто модератором.
...
11. пользователь 02.11.17 09:29
Сообщение было скрыто модератором.
...
Оставьте свое сообщение

См. также

ФНС рассказала о темпах выдачи электронных подписей по новым правилам

Новость ИТ-новость ФНС

Налоговики опубликовали первые статистические данные о выданных по новым правилам электронных подписях. А также призвали пользователей оформить новые сертификаты КЭП до конца этого года, не дожидаясь январского ажиотажа.

18.10.2022    1826    ЕленаЧерепнева    0       

Минобороны предоставит сотрудникам ИТ-компаний отсрочку от частичной мобилизации

Новость ИТ-новость

Министерство для обеспечения работы высокотехнологической отрасли намерено освободить от частичной мобилизации разработчиков с высшим образованием из аккредитованных в Минцифры ИТ-компаний.

27.09.2022    1932    VKuser24342747    10       

Граждане смогут управлять своими персональными данными через Госуслуги

Новость Безопасность ИТ-новость

Минцифры намерено создать реестр, в котором будут представлены все согласия на обработку персональных данных. Россияне получат к нему доступ через Госуслуги и смогут отзывать собственные разрешения.

16.09.2022    1459    VKuser24342747    1       

В дипломах выпускников колледжей появятся QR-коды со сведениями о компетенциях

Новость ИТ-новость Образование Цифровая экономика

Минпросвещения сообщило, что при помощи кода можно будет получить подробную информацию о теоретических знаниях и практических навыках студента. Это упростит трудоустройство выпускников.

23.08.2022    1193    VKuser24342747    0       

Банки обяжут идентифицировать клиентов через биометрическую систему

Новость Банки Безопасность ИТ-новость

Центробанк планирует установить обязательное условие регистрации новых клиентов – прохождение идентификации через единую биометрическую систему (ЕБС). Регулятор считает действующие методы регистрации ненадежными.

22.07.2022    1877    VKuser24342747    0       

Минцифры запустило на «Госуслугах» сервис с информацией о мерах поддержки ИТ-отрасли

Новость Импортозамещение ИТ-новость

В новом разделе можно узнать о действующих льготах и преференциях, а также ознакомиться с последними новостями о реализации проектов поддержки и нормативными документами.

10.06.2022    1997    VKuser24342747    0       

Минцифры запустит цифровые кафедры в более чем 100 вузах России

Новость ИТ-новость Минкомсвязь Образование Цифровая экономика

Глава Минцифры Максут Шадаев рассказал о старте программы дополнительного обучения студентов, школьников и взрослых, в ходе которой они смогут овладеть цифровой специальностью.

10.06.2022    2306    VKuser24342747    0       

Госдума одобрила к первому чтению упрощенное получение ВНЖ для ИТ-специалистов

Новость ИТ-новость

Госдума приступила к рассмотрению законопроекта, упрощающего процедуру получения вида на жительство для иностранных разработчиков и их семей. Документ получил также одобрение Совета Федерации.

08.06.2022    2120    VKuser24342747    7       

На сайте «Госуслуги» заработал справочник по льготной ипотеке для ИТ-специалистов

Новость ИТ-новость

На портале работники ИТ-индустрии могут узнать, имеют ли право на получение кредита, где можно его оформить и на каких условиях. Льготная ипотека предоставляется в рамках поддержки ИТ-отрасли.

02.06.2022    2719    VKuser24342747    4       

Правительство переведет большую часть госуслуг в онлайн до конца 2023 года

Новость ИТ-новость Цифровая экономика

Правительство подготовило концепцию поэтапного перехода к цифровому формату предоставления госуслуг. Россияне смогут воспользоваться сервисами в режиме 24/7.

21.04.2022    4006    VKuser24342747    0       

В России будут готовить киберспортсменов – с нормативами по бегу и приседаниям

Новость ИТ-новость

Министерство спорта утвердило стандарт подготовки по компьютерному спорту. Перечня игр или количества фрагов на разряд там нет – зато есть нормативы по общей физической подготовке.

24.01.2022    8899    user1015646    5       

«Госуслуги» интегрируют с государственной биометрической системой

Новость ИТ-новость Минкомсвязь Цифровая экономика

Заходить на сайт «Госуслуг» станет проще. Единую систему идентификации и аутентификации (ЕСИА) сервиса интегрируют с «Единой биометрической системой» (ГИС ЕБС) – Минцифры заключило соответствующий контракт с «Ростелекомом».

24.01.2022    8131    user1015646    0       

Унылые пользовательские соглашения-многостраничники могут исчезнуть

Новость ИТ-новость

Прочитать до конца пользовательское соглашение и понять все юридические формулировки в нем способен только действительно упорный человек. Но вскоре соглашения могут стать короче и понятнее – в США разрабатывают соответствующий законопроект.

18.01.2022    5624    user1015646    0       

Стартап с российскими корнями оценили в 17,5 млрд долларов США

Новость ИТ-новость Управление проектами

Стартап Miro, основанный выходцами из России, привлек 400 млн долларов США в рамках инвестиционного раунда С. В целом же компанию оценили в 17,5 млрд долларов.

12.01.2022    9630    user1015646    2       

Банк России с января начнет собирать обезличенные данные о денежных переводах россиян

Новость Банки ИТ-новость

Центробанк с 2022 года ужесточит контроль потенциально нелегальных платежей между физлицами. Некоторые банки сообщили о необходимости передавать личные данные граждан, но ЦБ отрицает эту информацию.

30.12.2021    15829    VKuser24342747    3       

Жители России смогут получить зарплату через СБП

Новость Банки ИТ-новость Цифровая экономика

Система быстрых платежей, запущенная в начале 2019 года, позволяет моментально переводить деньги, оплачивать товары и услуги. В 2022 году СБП начнут использовать и для выплаты зарплат – правда, пока лишь в пилотном режиме.

27.12.2021    14404    user1015646    3       

Госдума начала рассмотрение закона о базовом доходе для семей с детьми

Новость Законодательство ИТ-новость

В Госдуму внесен законопроект, который устанавливает обязательные выплаты для семей, в которых воспитываются дети до 18 лет. Платежи будут рассчитываться в зависимости от числа членов семейства.

22.12.2021    15535    VKuser24342747    8       

«Google Диск» не позволит расшаривать файлы, нарушающие правила сервиса

Новость Google Безопасность ИТ-новость Новости компаний

Сервис «Google Диск» ввел ограничение на доступ к загруженным файлам, если они нарушают политику компании. Пользователи получат уведомление, если их контент не соответствует правилам хранилища.

21.12.2021    21386    VKuser24342747    3       

В России может появиться право на отказ от интернета

Новость Интернет ИТ-новость

Совет при президенте по правам человека (СПЧ) представил Концепцию по защите прав и свобод человека и гражданина в цифровом пространстве. Одно из положений документа – возможность отказаться от сетевого взаимодействия.

17.12.2021    19291    VKuser24342747    30       

На Госуслугах появилось проактивное информирование по сервисам ОМС

Новость ИТ-новость Медицина Минкомсвязь Мобильные приложения Цифровая экономика

Фонд обязательного медицинского страхования (ФОМС) совместно с Минцифры запустил услугу уведомления граждан о процессе получения медицинских услуг по ОМС.

07.12.2021    13261    VKuser24342747    1       

Крупные коммерческие сервисы подключают авторизацию через Госуслуги

Новость Безопасность Интернет ИТ-новость

Аккаунт на Госуслугах можно использовать, чтобы авторизоваться на популярных онлайн-площадках. Такую возможность уже открыли «Авто.ру», HeadHunter и ЦИАН.

03.12.2021    28095    user1015646    4       

«Яндекс» подключит регистрацию в своих сервисах через Госуслуги

Новость Безопасность ИТ-новость Новости компаний

Для доступа к профилю пользователи «Яндекса» смогут использовать Единую систему идентификации и аутентификации (ЕСИА), которая доступна для владельцев учетной записи на портале Госуслуг.

26.11.2021    20226    VKuser24342747    1       

Минцифры не будет превращать некоторые госуслуги в суперсервисы

Новость ИТ-новость Минкомсвязь Цифровая экономика

Министерство цифрового развития исключило четверть госуслуг из плана по превращению их в суперсервисы, полностью охватывающие типовые жизненные ситуации.

25.11.2021    13705    VKuser24342747    1       

Правительство разрешило сервисам такси и каршеринга собирать биометрию водителей

Новость ИТ-новость Цифровая экономика

Правительство внесло такси и каршеринг в список нефинансовых организаций, которые обладают правом собирать биометрические данные. Это поможет бороться с использованием поддельных документов.

08.11.2021    11957    VKuser24342747    1       

Минцифры запустит на Госуслугах сервисы для школьников и студентов

Новость ИТ-новость Цифровая экономика

Минцифры намерено разрешить создавать учетную запись на едином портале Госуслуг для детей младше 14 лет. Кроме того, ведомство предложит студентам сервис электронных зачетных книжек.

22.10.2021    10715    VKuser24342747    0