Tízezer dollár egy diáknak egy sebezhetőség bejelentéséért

Minden mintaszerűen történt: a fiú jelentette a hibát, a mérnökök megoldották, majd kifizették a megérdemelt jutalmat.

Az érintett uruguayi középiskolás blogjából derült ki, hogy Ezequiel Pereira a Google App Engine szerverében talált egy biztonsági rést.

A fiú leírja, hogy igazából unaloműzésként keresett hibákat, aztán július 11-én jutott eredményre. Pereira kéréseket küldött az App Engine szerverének, de úgy, hogy átírta a Host Headert, hogy hozzáférjen olyan szintekhez, melyekhez csak azonosítással lehet. A legtöbbször nem ért el semmit, a szerver hibát jelzett vagy hitelesítést kért. De egy címnél (yaqs.googleplex.com) – a Burp biztonsági tesztcsomag használatával – sikerrel járt, a szerver azonosítás nélkül beengedte. Miután a szerver elfogadta a bejelentkezést, a diák hozzáfért olyan linkekhez és egyéb szekciókhoz a Google Sevicesben és az infrastruktúrában, melyek nem nyilvánosak, sőt bizalmasként voltak megjelölve.

Google
[+]

Pereira ezek után nem lépett tovább, hanem azonnal jelezte a hibát a Google-nak, és bizonyítékként mellékelt a Burpre támaszkodva egy proof-of-concept megoldást is

  • Go to the Repeater tab
  • Set the target host to "www.appspot.com", the target port to "443" and check the "Use HTTPS" option
  • Write this raw HTTP request (Including the last two empty lines):
  • GET /eng HTTP/1.1 Host: yaqs.googleplex.com
  • Click "Go"
  • Attack scenario: Anyone can access an internal Google website called YAQS that says "Google Confidential" in the footer

A Google biztonsági csapata  pár óra múlva válaszolt a fiúnak, közölték, hogy a feltárt sebezhetőség valós, dolgoznak a javításon, de legyen türelemmel pár hétig.

Válasz
[+]

Pereira saját állításai szerint örült ugyan a sikernek, de a feltárt hibát nem tartotta különösen súlyosnak. Nem így a Google-nál: augusztus elején értesítették, hogy igen komoly biztonsági rést talált. A problémát megoldották, és a hibavadász program keretében 10 ezer dollárral (kb. két és fél millió forinttal) jutalmazták a jelentést (ennél többet, 30 ezer dollárt csak a távoli kódfuttatást lehetővé tevő rések feltárásáért fizetnek).

Azóta történt

Előzmények