Google заплатил пользователю за найденные уязвимости 15 тыс. долларов

01.11.2017     
Румынский эксперт по кибербезопасности Алекс Бирсан обнаружил в официальном трекере Google три серьезные бреши в безопасности, которые могли дать хакерам доступ к списку всех найденных уязвимостей в продуктах компании.

Дыры безопасности были найдены в Google Issue Tracker (также известном как Buganizer) – приложении для отслеживания сообщений об ошибках безопасности в продуктах компании.

«Buganizer является центральной системой отслеживания ошибок, поэтому весьма вероятно, что в ней также хранятся уязвимости внутренних систем Google. Я провел минимальное исследование, но могу сказать, что там куда более интересная информация, если покопаться», – рассказал Бирсан изданию Bleeping Computer.

По словам Бирсана, найденные им дыры и в защите системы позволяют получить доступ к базе обнаруженных уязвимостей, в том числе еще неисправленных. Обычно к сообщениям баг-трекера имеют доступ только сотрудники Google и эксперты в области уязвимостей. У простых пользователей может быть доступ только к отдельным веткам, в которых они сами оставили сообщение об ошибке. 

Как сообщает Бирсан, являющийся разработчиком на Python в румынской компании, специализирующейся на кибербезопасности, ошибки были выявлены им в период с 27 сентября по 4 октября. При этом он считает себя первым, кто их обнаружил, поскольку не нашел никаких следов использования уязвимостей злоумышленниками.

Всего было выявлено три проблемы:

  • Способ регистрации адреса электронной почты в домене @google.com с использованием общей схемы именования адресов электронной почты Buganizer. 
  • Способ подписки и получения уведомлений об ошибках, к которым у него не должно было быть доступа. 
  • Способ обмана API Buganizer, который может помочь получить доступ к каждой уязвимости.

В Google оперативно отреагировали на сообщение Бирсана об ошибке и выплатили исследователю 3 тыс. долларов за обнаружение первой уязвимости, 5 тыс. долларов – за вторую и 7,5 тыс. долларов за третью.




Автор:
Яна Казьмина Редактор ленты новостей


Комментарии
В избранное Подписаться на ответы Сортировка: Древо развёрнутое
Свернуть все
2. PerlAmutor 106 01.11.17 19:46 Сейчас в теме
(1) У меня ситуация похуже, я не могу рапортовать об ошибках вообще, т.к. мой работодатель зажал логин и пароль от ИТС. Когда я его просил мне выдать, то прозвучала фраза "скажи что тебе оттуда нужно, я скачаю". Сейчас хочется ему сказать, что уже как 2 года мне от него ничего не нужно. А когда он мне задает тупые вопросы по программированию хочется тактично отправить его читать ИТС со своим личным логином и паролем...
3. spezc 663 01.11.17 20:12 Сейчас в теме
(2) жесть, незавидную вам. что же вас держит?
9. PerlAmutor 106 01.11.17 21:19 Сейчас в теме
(3) собственный план на ближайшие год-два, который позволит рассчитывать на более выгодное предложение от потенциальных работодателей во время ухода, нежели чем сделать это сейчас, получить прибавку к ЗП в 1.5 раза и потом жить год-два в надежде что он её поднимет до желаемого уровня (что обычно никогда не происходит по инициативе руководства, богатый опыт в этом уже имеется).
dimisa; Rezident495; spezc; +3 Ответить
12. TODD22 19 02.11.17 09:42 Сейчас в теме
(2)
У меня ситуация похуже, я не могу рапортовать об ошибках вообще

Не много потеряли. Зарегистрировать ошибку то ещё удовольствие.

Как то по ошибке в УПП пришлось две недели переписывать с тех поддержкой. В первом же письме был описан способ воспроизведения ошибки, код который приводит к ошибке и как можно исправить. Потом две недели пришлось пробиваться через "Ошибка у нас не воспроизводится, пришлите вашу базу" хотя эта ошибка воспроизводилась даже в типовой демке.
Спустя две недели её зарегистрировали и исправили в следующем вышедшем релизе. С тех пор всё желание отправлять баг репорты отбили на прочь.

Похожая ситуация была когда разрабатывался один отраслевой продукт но под флагом вендора.
Там была проблема с функционалом. Приходилось так же по 2 недели объяснять людям которые отвечают за функционал что так как они придумали никто не работает. Спустя две недели переписок они с этим согласились и вместо того что бы сделать нормально прикрутили невероятный костыль который проблему не решал, а лишь немного упрощал работу. Вместо заполнения 10 реквизитов в 3х местах сделали заполнение 2х реквизитов в одном месте. Но при этом эту операцию вообще выполнять бы не надо. Но хоть так....
Rezident495; +1 Ответить
Оставьте свое сообщение

См. также

SuperJob проанализировал зарплаты выпускников российских ИТ-вузов

Новость ИТ-новость Образование

Сервис по поиску работы SuperJob составил список отечественных вузов, выпускники которых получают наиболее высокие заработные платы после окончания обучения. 

25.06.2020    912    VKuser24342747    0       

Минфин раскритиковал планы Минкомсвязи по субсидированию онлайн-образования

Новость Образование

Министерство связи хочет выделить 300 млн рублей компаниям, предлагающим услуги онлайн-образования. Минфин опасается, что часть этих денег могут получить развлекательные и игровые сайты. 

22.05.2020    1107    VKuser24342747    1       

Боремся с «ленивой самоизоляцией»: цикл публикаций от Елены Дуюн на Infostart.ru

Новость Обучение, бизнес-тренинг, курсы

Организация работы в период пандемии – ценный опыт, которым нужно делиться. Продолжаем обсуждение вместе с бизнес-психологом, консультантом по подбору и развитию персонала – Еленой Дуюн. 

20.05.2020    2470    user997184    1       

Мир после коронавируса: российские компании не сохранят удаленку, США – наоборот

Новость Новости компаний

Многие компании вынуждены были полностью или частично перейти на удаленный формат работы. Но после снятия карантинных ограничений большая часть российских работодателей намерена вернуть сотрудников в офисы. В США ситуация противоположная.

15.05.2020    2010    user1015646    8       

Все.онлайн: в России запущен каталог бесплатных ресурсов для людей в самоизоляции

Новость Госдума Интернет

В России заработал портал, на котором собраны бесплатные ресурсы: развлекательные, образовательные и информационные. Они помогут провести время продуктивно, отдохнуть, заказать товары онлайн.

15.04.2020    1739    user1015646    0       

Минкомсвязи представило приложение для получения QR-пропусков на время карантина

Новость Минкомсвязь Мобильные приложения

В магазинах мобильных приложений появилась программа для получения QR-пропусков во время самоизоляции. В Минкомсвязи сообщили, что решение будет использоваться по всей России, кроме Москвы. 

14.04.2020    1836    VKuser24342747    2       

Опубликован список сайтов «бесплатного интернета»

Новость Интернет Минкомсвязь

Эксперимент продлится с 1 апреля по 1 июля 2020 года. Предполагается, что потоковое видео с сайтов при бесплатном доступе грузиться не будет.

10.04.2020    2399    AnastasiaKl    5       

Александр Жаров ушел из Роскомнадзора ради должности гендиректора «Газпром-Медиа»

Новость Роскомнадзор

Александр Жаров больше не возглавляет Роскомнадзор. Его место займет Андрей Липов, который руководит управлением президента по применению информационных технологий. 

25.03.2020    2043    VKuser24342747    0       

В России обсуждают введение нового вида занятости – удаленной работы

Новость Госдума Законодательство

Если поправки примут, работники смогут трудиться дома и в офисе по одному трудовому договору.

24.03.2020    2690    ЕленаЧерепнева    7       

На карантине: Google Chrome перестанет получать обновления до апреля

Новость Google

Google временно приостановила выпуск обновлений для Chrome. Команда разработчиков браузера переведена на удаленную работу и будет заниматься лишь исправлением проблем с безопасностью.

23.03.2020    2337    VKuser24342747    6       

Минкомсвязь не хочет компенсировать затраты операторов на «бесплатный» интернет

Новость Минкомсвязь Телекоммуникации

Доступ к сайту госуслуг и другим социально значимым ресурсам обещали сделать бесплатным с 1 марта. Но запуск проекта пришлось отложить: Минкомсвязь не успела согласовать нужные документы. 

17.03.2020    2422    user1015646    6       

Фельдшерам и учителям не хватило компьютеров для подключения к интернету

Новость Образование Цифровая экономика

Школам и фельдшерским пунктам не досталось компьютеров, положенных по проекту «Цифровая экономика». Заведения так и не получили возможность выхода в интернет. 

05.03.2020    2312    VKuser24342747    4       

Умер Ларри Теслер – разработчик, придумавший команды «копировать», «вырезать» и «вставить»

Новость Искусственный интеллект Языки программирования

Ларри Теслер , скончавшийся 16 февраля 2020 года, возможно, не является всемирно известным, как Стив Джобс или Билл Гейтс, но его вклад в упрощение использования компьютеров и мобильных устройств нельзя переоценить. Ведь именно он изобрел используемые по всему миру функции «вырезать», «копировать» и «вставить».

25.02.2020    3010    user-programmist    6       

Не на своем месте: суд оштрафовал Twitter и Facebook на 4 млн рублей

Новость Роскомнадзор Судебная практика

Роскомнадзор добился наказания для Twitter и Facebook. Суд принял решение оштрафовать каждую компанию на 4 млн рублей за отказ перенести данные о пользователях в Россию.

20.02.2020    2404    VKuser24342747    9       

ФАС попросит Apple и Google очистить смартфоны для российского ПО

Новость Google

Антимонопольная служба предложила привлечь Apple, Google и Microsoft к исполнению закона об обязательной предустановке российских приложений. Компании будут отвечать наравне с производителями и продавцами устройств. 

04.02.2020    3333    VKuser24342747    30       

Почтовый сервис Protonmail заблокирован в России

Новость Интернет

Спецслужбы считают, что через Protonmail, рассылались ложные сообщения об угрозах минирования на территории РФ.

03.02.2020    3721    Senator_I    68       

Чешские программисты бесплатно создали сайт, на который правительство хотело потратить 16 млн евро

Новость Государственные, бюджетные структуры Госзакупки Онлайн-торговля

Власти Чехии собирались потратить 16 млн евро на создание интернет-магазина для покупки талонов на проезд по платным дорогам. Местных разработчиков возмутил объем затрат: они организовали хакатон и за выходные бесплатно создали онлайн-магазин.

03.02.2020    4512    user1015646    31       

Лучше, чем Google: «Яндекс» возглавил рейтинг лучших работодателей для студентов в России

Новость Google Образование Яндекс

Сервис поиска вакансий FutureToday составил список лучших работодателей для студентов. На первом месте рейтинга в России – «Яндекс», который в этом году смог обогнать Google. 

31.01.2020    3562    user1015646    6       

Большие перемены: назначен новый министр по цифровому развитию и связи

Новость Цифровая экономика

Новым главой Министерства цифрового развития, связи и массовых коммуникаций стал Максут Шадаев. Он сменил на посту Константина Носкова, который сложил полномочия в связи с отставкой правительства.

28.01.2020    3580    user1015646    16       

Готовьте ваши миллиарды: утверждены новые требования к российским DNS

Новость Интернет Минкомсвязь

Минкомсвязи утвердило требования к операторам связи и интернет-сервисам, выполняющим функции DNS. Такие сервисы должны будут в течение года хранить информацию о пользователях и обеспечивать время отклика не более 100 мс.

28.01.2020    5021    user1015646    0       

Всем даром: доступ к сайтам госуслуг и госорганов станет бесплатным

Новость Интернет Телекоммуникации

Уже с 1 марта зайти на сайты государственных органов и госуслуг можно будет бесплатно. Ресурсы должны открываться, даже если у вас на счете «жирный минус», заявили в Минкомсвязи.

24.01.2020    3795    user1015646    4       

Российские банки перестанут собирать биометрические данные 

Новость Банки

Проект по сбору биометрических данных в российских банках решили заморозить. Пополнение единой биометрической системы откладывается на неопределенный срок.

23.01.2020    3978    user1015646    5       

Назначен новый руководитель Федеральной налоговой службы

Новость Налоги ФНС

После того, как Михаил Мишустин стал премьер-министром России, Федеральная налоговая служба получила нового руководителя. Налоговое ведомство возглавил Даниил Егоров.

22.01.2020    4299    ЕленаЧерепнева    22       

Минэкономразвития предложило создать российский аналог GitHub

Новость GitHub Цифровая экономика

Министерство экономического развития (МЭР) предлагает выделить 2,1 млрд рублей на создание российской версии GitHub.

21.01.2020    4013    AnastasiaKl    8       

Путин пообещал «бесплатный» интернет и перевод нацпроектов на отечественное ПО

Новость Импортозамещение Интернет

Это значит, что трафик за подключение к социально-значимым ресурсам россиянам оплачивать не придется, а «технологический» законодательный проект облегчит российским исследователям и предпринимателям доступ к инновациям.

17.01.2020    5579    AnastasiaKl    27