תלמיד תיכון קיבל 10,000$ מגוגל כי עלה על פרצת אבטחה

למאמר הבא
ESET

גוגל שילמה לתלמיד תיכון מאורוגוואי 10,000$ אחרי שחשף פגם אבטחה שיכול לאפשר להאקרים לגשת לנתונים רגישים.

איזקיאל פרירה גילה נקודת תורפה בשרת של גוגל לאחר שזייף את הכתובת המארחת (Host header) באמצעות Burp (כלי גרפי לבדיקות אבטחה של יישומי אינטרנט).

תלמיד התיכון הסביר בפוסט בבלוג שלו, "הייתי משועמם, אז ניסיתי למצוא באג כלשהו בגוגל".

לאחר מספר ניסיונות כושלים, הוא הצליח לגשת לדף אינטרנט פנימי שלא בדק את שם המשתמש שלו או דרש ממנו כל אמצעי אבטחה אחר. המניפולציה שעשה בעצם אפשרה לכך שלא יזהו אותו וכך הצליח לחדור לעמוד שגוגל ממש לא מעוניינת שהוא יהיה בו.

לאחר שהתחיל לקרוא את המסמך המסווג, הוא החליט להפסיק את הפעולות ו"דיווח על הבעיה מיד".

חבר בצוות האבטחה של גוגל השיב לו כי הם יבדקו את הנושא ויגיבו לו לאחר שיבדקו את הבאג.

בנקודה זו התלמיד הצעיר חשב שלא יצא שום דבר מהסיפור הזה, "זה כנראה דבר קטן שלא שווה אגורה, לאתר כנראה היה כמה דברים טכניים על שרתי Google, שום דבר חשוב באמת", אמר.

כפי שהתברר הפגם שמצא היה שווה הרבה יותר מאגורה, וגוגל הודיעה לו שהבאגים שעליהם דיווח יזכו אותו ב-10,000 דולר מתוכנית התגמולים לפגמי אבטחה של גוגל (VPR- תוכנית בה גוגל מעניקה פרסים למי שימצא נקודות תורפה בממשקים שלה ובאחרים).

ב -2013 הרחיבה גוגל את מדיניות ה- VPR שלה וכיום היא כוללת מבחר של תוכנות, תוכנית הבאגים הקודמת שלה התמקדה בעיקר במוצרי גוגל.

התלמיד מאורוגוואי אמר כי הוא רוצה להיות חוקר אבטחה בעתיד וסיפר כי היה מרוצה מהטיפול בבעיה וגם אישר כי כעת היא נפתרה, "הבאג תוקן עכשיו, ועל פי גוגל, את הפרס הגדול קיבל כי הם מצאו כמה גרסאות שיאפשרו להאקרים גישה לנתונים רגישים".

אולי כדאי להתחיל ולחפש פרצות אבטחה, לכו תדעו אולי תרוויחו מזה.