Google заплатил пользователю за найденные уязвимости 15 тыс. долларов

01.11.2017     
Румынский эксперт по кибербезопасности Алекс Бирсан обнаружил в официальном трекере Google три серьезные бреши в безопасности, которые могли дать хакерам доступ к списку всех найденных уязвимостей в продуктах компании.

Дыры безопасности были найдены в Google Issue Tracker (также известном как Buganizer) – приложении для отслеживания сообщений об ошибках безопасности в продуктах компании.

«Buganizer является центральной системой отслеживания ошибок, поэтому весьма вероятно, что в ней также хранятся уязвимости внутренних систем Google. Я провел минимальное исследование, но могу сказать, что там куда более интересная информация, если покопаться», – рассказал Бирсан изданию Bleeping Computer.

По словам Бирсана, найденные им дыры и в защите системы позволяют получить доступ к базе обнаруженных уязвимостей, в том числе еще неисправленных. Обычно к сообщениям баг-трекера имеют доступ только сотрудники Google и эксперты в области уязвимостей. У простых пользователей может быть доступ только к отдельным веткам, в которых они сами оставили сообщение об ошибке. 

Как сообщает Бирсан, являющийся разработчиком на Python в румынской компании, специализирующейся на кибербезопасности, ошибки были выявлены им в период с 27 сентября по 4 октября. При этом он считает себя первым, кто их обнаружил, поскольку не нашел никаких следов использования уязвимостей злоумышленниками.

Всего было выявлено три проблемы:

  • Способ регистрации адреса электронной почты в домене @google.com с использованием общей схемы именования адресов электронной почты Buganizer. 
  • Способ подписки и получения уведомлений об ошибках, к которым у него не должно было быть доступа. 
  • Способ обмана API Buganizer, который может помочь получить доступ к каждой уязвимости.

В Google оперативно отреагировали на сообщение Бирсана об ошибке и выплатили исследователю 3 тыс. долларов за обнаружение первой уязвимости, 5 тыс. долларов – за вторую и 7,5 тыс. долларов за третью.




Автор:
Яна Казьмина Редактор ленты новостей


Комментарии
В избранное Подписаться на ответы Сортировка: Древо развёрнутое
Свернуть все
1. пользователь 01.11.17 19:16
Сообщение было скрыто модератором.
...
2. PerlAmutor 124 01.11.17 19:46 Сейчас в теме
(1) У меня ситуация похуже, я не могу рапортовать об ошибках вообще, т.к. мой работодатель зажал логин и пароль от ИТС. Когда я его просил мне выдать, то прозвучала фраза "скажи что тебе оттуда нужно, я скачаю". Сейчас хочется ему сказать, что уже как 2 года мне от него ничего не нужно. А когда он мне задает тупые вопросы по программированию хочется тактично отправить его читать ИТС со своим личным логином и паролем...
3. spezc 717 01.11.17 20:12 Сейчас в теме
(2) жесть, незавидную вам. что же вас держит?
9. PerlAmutor 124 01.11.17 21:19 Сейчас в теме
(3) собственный план на ближайшие год-два, который позволит рассчитывать на более выгодное предложение от потенциальных работодателей во время ухода, нежели чем сделать это сейчас, получить прибавку к ЗП в 1.5 раза и потом жить год-два в надежде что он её поднимет до желаемого уровня (что обычно никогда не происходит по инициативе руководства, богатый опыт в этом уже имеется).
dimisa; Rezident495; spezc; +3 Ответить
12. TODD22 18 02.11.17 09:42 Сейчас в теме
(2)
У меня ситуация похуже, я не могу рапортовать об ошибках вообще

Не много потеряли. Зарегистрировать ошибку то ещё удовольствие.

Как то по ошибке в УПП пришлось две недели переписывать с тех поддержкой. В первом же письме был описан способ воспроизведения ошибки, код который приводит к ошибке и как можно исправить. Потом две недели пришлось пробиваться через "Ошибка у нас не воспроизводится, пришлите вашу базу" хотя эта ошибка воспроизводилась даже в типовой демке.
Спустя две недели её зарегистрировали и исправили в следующем вышедшем релизе. С тех пор всё желание отправлять баг репорты отбили на прочь.

Похожая ситуация была когда разрабатывался один отраслевой продукт но под флагом вендора.
Там была проблема с функционалом. Приходилось так же по 2 недели объяснять людям которые отвечают за функционал что так как они придумали никто не работает. Спустя две недели переписок они с этим согласились и вместо того что бы сделать нормально прикрутили невероятный костыль который проблему не решал, а лишь немного упрощал работу. Вместо заполнения 10 реквизитов в 3х местах сделали заполнение 2х реквизитов в одном месте. Но при этом эту операцию вообще выполнять бы не надо. Но хоть так....
Rezident495; +1 Ответить
4. пользователь 01.11.17 20:46
Сообщение было скрыто модератором.
...
5. пользователь 01.11.17 20:47
Сообщение было скрыто модератором.
...
6. пользователь 01.11.17 20:48
Сообщение было скрыто модератором.
...
7. пользователь 01.11.17 20:52
Сообщение было скрыто модератором.
...
8. пользователь 01.11.17 20:56
Сообщение было скрыто модератором.
...
10. пользователь 02.11.17 03:35
Сообщение было скрыто модератором.
...
11. пользователь 02.11.17 09:29
Сообщение было скрыто модератором.
...
Оставьте свое сообщение

См. также

Российский ИИ будет искать запрещенную информацию в сети

Новость Безопасность Интернет Искусственный интеллект ИТ-новость

В России разрабатываются сразу две системы для поиска в интернете информации, несущей угрозу. Одна выявит противоправные материалы, вторая – обнаружит факты фальсификации истории и дипфейки.

вчера в 15:31    1775    VKuser24342747    1       

Провайдеры предложили ужесточить требования к социально значимым сайтам

Новость Интернет ИТ-новость

Поставщики услуг мобильной связи направили в Минцифры предложение об уточнении правил предоставления бесплатного доступа к социально значимым сайтам. Компании считают текущий список ресурсов избыточным.

21.09.2021    1795    VKuser24342747    0       

ФНС добавила на Госуслуги сервис для получения выписок из ЗАГСов

Новость ИТ-новость ФНС Цифровая экономика

Федеральная налоговая служба совместно с Министерством цифрового развития заявили о запуске нового сервиса на Едином портале госуслуг, который позволит получать актуальные сведения из ЗАГСа.

20.09.2021    3750    VKuser24342747    0       

На портале Госуслуг станет больше медицинских сервисов для граждан

Новость ИТ-новость

На Госуслугах скоро станет возможным посмотреть собственную медицинскую карту, выписанные рецепты и результаты анализов. К 2022 году власти намерены перевести все социальные сервисы в цифровой вид.

15.09.2021    2630    VKuser24342747    3       

«Ростелеком» рекомендует не использовать сервисы DNS от Google и Cloudflare

Новость Безопасность Импортозамещение Интернет ИТ-новость

«Ростелеком» разослал настоятельную рекомендацию использовать DNS провайдера или «Национальной системы доменных имен» (НСДИ) вместо аналогичных сервисов от иностранных ИТ-компаний.

15.09.2021    6831    VKuser24342747    1       

ИТ-специалисты обнаружили попытки Роскомнадзора блокировать Google и Cloudflare

Новость Безопасность Импортозамещение Интернет ИТ-новость Роскомнадзор

Сразу несколько российских ИТ-исследователей нашли признаки тестирования блокировки DNS-сервисов Google и Cloudflare. По мнению экспертов, РКН использует для этого оборудование для суверенного интернета.

15.09.2021    2545    VKuser24342747    11       

И вот он настал… День программиста

Новость Инфостарт ИТ-новость

Сегодня 13 сентября, и мы традиционно поздравляем всех программистов с профессиональным, официально закрепленным на государственном уровне, праздником – Днем программиста!

13.09.2021    6826    AnastasiaKl    2       

В России появится робот для поиска нелегальных персональных данных в сети

Новость Безопасность Интернет ИТ-новость

Подведомственная Роскомнадзору организация создаст интернет-бота, который будет сканировать сайты на наличие запрещенных к распространению персональных данных россиян.

09.09.2021    1743    VKuser24342747    1       

Биометрию начнут применять для водителей такси и пользователей каршеринга

Новость Законодательство ИТ-новость Цифровая экономика

Минцифры опубликовало проект постановления, в котором предлагает расширить список случаев сбора биометрии – у водителей такси, пользователей каршеринга, участников собраний и для пропуска на территорию организаций. Если постановление будет подписано, то изменения вступят в силу с 1 января 2022 года. Сейчас проходит общественное обсуждение проекта.

08.09.2021    2156    Senator_I    0       

У россиян пропал из электронной трудовой книжки стаж на ликвидированных предприятиях

Новость ИТ-новость Цифровая экономика

Пострадавшие граждане сообщили о проблеме в Пенсионный фонд, где им посоветовали обратиться к бывшему работодателю. Однако после ликвидации компании вернуть потерянный стаж затруднительно.

08.09.2021    2530    VKuser24342747    15       

Google Play меняет систему рейтингов приложений

Новость Android Google ИТ-новость Мобильные приложения Рейтинг

Количество звезд у приложения в Google Play – один из определяющих факторов выбора для пользователя. Компания решила изменить систему рейтинга, чтобы людям было проще и удобнее загружать софт на свои Android-устройства.

02.09.2021    5877    user1015646    0       

Только треть россиян готова отказаться от бумажного паспорта в пользу цифрового

Новость ИТ-новость

Исследование портала SuperJob показало, что из 10 россиян семеро не хотят менять свой бумажный паспорт на пластиковую смарт-карту. Максут Шадаев заявил, что в ближайшее время россиянам не нужно будет менять паспорт в обязательном порядке.

26.08.2021    3033    VKuser24342747    12       

Российский институт разработал технологию для создания интернет-сети на Крайнем Севере

Новость Интернет ИТ-новость Телекоммуникации

Исследовательский институт создал технологию для беспроводного широкополосного интернет-соединения на расстоянии до 810 километров. Она может применяться в удаленных регионах России.

25.08.2021    2501    VKuser24342747    2       

Минтруд разработал профессиональные стандарты для изучения цифрового следа

Новость ИТ-новость Цифровая экономика

Министерство труда и социальной защиты России подготовило проект, регулирующий деятельность специалистов по сбору и анализу цифрового следа. Документ определяет квалификацию работников и цели их деятельности.

18.08.2021    3214    VKuser24342747    0       

«Ростелеком» создаст онлайн-платформу для получения социальных выплат

Новость ИТ-новость

Правительство назначило «Ростелеком» единственным исполнителем заказа на создание единой цифровой платформы для получения пенсий и соцподдержки. Запуск проекта намечен на 2023 год.

12.08.2021    3321    VKuser24342747    0       

В российских вузах будут учить играть в компьютерные игры

Новость Видеоигры ИТ-новость Образование

Российские вузы будут готовить киберспортсменов и разработчиков компьютерных игр. Первые образовательные программы появятся уже в конце 2022 года.

04.08.2021    4778    user1015646    12       

Готовится эксперимент по предоставлению госуслуг через банковские приложения

Новость ИТ-новость Минкомсвязь Цифровая экономика

Минцифры готовит постановление правительства о проведении эксперимента по предоставлению госуслуг через коммерческие организации. Если законопроект примут, эксперимент пройдет с 1 сентября 2021 года по 31 декабря 2022 года.

29.07.2021    3979    Senator_I    1       

В России прирост стартапов по разработке ПО упал до ста новых компаний в год

Новость Аналитика ИТ-новость Стартапы

Некоммерческая ассоциация «Руссофт» провела исследование российского рынка разработки. Эксперты установили, что за последние пять лет в этой отрасли ежегодно появляется около 100 новых устойчивых компаний.

22.07.2021    3937    VKuser24342747    3       

На московском хакатоне разработчики со всей России поборолись за миллионы рублей

Новость Искусственный интеллект ИТ-новость Стартапы Цифровая экономика

В Москве подведены результаты онлайн-хакатона Moscow City Hack. По итогам 72-часового конкурса победили получили крупные денежные призы и дорогостоящие гранты на обучение.

16.07.2021    2827    VKuser24342747    1       

Исследование: компаниям не хватает сотрудников, разбирающихся в старых технологиях

Новость Аналитика ИТ-новость

Исследование Advanced Software показало, что многие крупные ИТ-компании испытывают сложности с передачей знаний о старых технологиях и не могут нанять специалистов для поддержки легаcи-проектов. 

08.07.2021    2557    user1015646    16       

Минцифры в этом году представит стратегию развития открытого ПО в России

Новость Законодательство

Министерство цифрового развития совместно с ИТ-бизнесом занимается разработкой стратегии развития open source в стране. Об этом рассказал заместитель министра связи Максим Паршин.

01.07.2021    3043    VKuser24342747    0       

Исследователи рассказали, как уровень кибербезопасности снизился из-за пандемии

Новость Безопасность ИТ-новость

Из-за перехода на удаленку многие специалисты завели десятки новых аккаунтов. Эксперты IBM установили, что это негативно сказалось на уровне безопасности в интернете.

24.06.2021    5556    user1015646    0       

Минпросвещения начало эксперимент по внедрению электронных досье в детских садах

Новость ИТ-новость Цифровая экономика

Минпросвещения приступило к разработке системы, которая позволит собирать и хранить данные о школьниках и студентах. Цифровой профиль будет создан сразу же после зачисления ребенка в детский сад или первый класс.

11.06.2021    3797    VKuser24342747    0       

GitHub узнал, как совещания влияют на работоспособность программиста

Новость GitHub Аналитика ИТ-новость

GitHub провел исследование, чтобы выяснить, действительно ли отрыв от работы для обсуждения задач влияет на работу разработчиков. Анализ показал, что отвлечение в течение дня сильно снижает продуктивность сотрудника.

31.05.2021    7692    VKuser24342747    3       

Google показал фото новых офисов и рассказал о гибридном графике

Новость Google ИТ-новость

Google переводит сотрудников на гибридный график работы: три дня в неделю сотрудники будут работать из офиса, два дня в неделю – из дома. Поисковый гигант пересмотрел свои политики организации команд и показал обновленные офисы.

25.05.2021    11644    user1015646    0