Studente di una scuola superiore di informatica incassa ben 10.000 $ per aver scoperto un bug di Google

Nel mese scorso Google ha risolto un bug che avrebbe potuto consentire a chiunque di ottenere l’accesso ad un  sito interno di Google e accedere, di conseguenza, a dati sensibili.

La società di Mountain View ha elargito, venerdì 4 agosto, una cospicua ricompensa – 10.000 dollari $ – al ricercatore che ha scoperto il bug; si tratta di Ezequiel Pereira, uno studente uruguayano che frequenta, attualmente, una scuola superiore di informatica.

E pensare che Pereira si è imbattuto sul sito… più o meno per vincere la noia. Lo studente, che afferma di voler divenire ricercatore nel campo della sicurezza IT, stava in effetti “curiosando”, all’inizio del mese scorso, tra i servizi di Google, utilizzando Burp Suite per cercare di modificare l’intestazione Host nelle richieste inviate al server di App Engine. Mentre la maggior parte dei suoi tentativi restituiva la classica risposta 404, un sito interno, yaqs.googleplex.com, non presentava alcuna verifica di tipo username/password, o qualsiasi altra misura di sicurezza per quanto sopra descritto.

“Non mi sono comunque imbattuto per caso su YAQS; l’ho trovato con una ricerca su Google”, ha riferito giovedì scorso, a Threatpost, Ezequiel Pereira, “Ho semplicemente ricercato “site:googleplex.com”, includendo i risultati omessi, ed il motore di ricerca ha restituito un bell’elenco di alcune app di Googleplex, tra cui YAQS”.

Googleplex.com ospita le applicazioni interne dell’App Engine di Google. Il sito stesso punta ad un sito interno, uberproxy.l.google.com, che richiede al personale di effettuare il login tramite un account utilizzato in ambito lavorativo; una volta superato il proxy, le richieste vengono instradate all’App Engine, afferma Pereira.

Ezequiel ha riferito di aver visto, una volta all’interno, numerosi link a “varie sezioni relative ai servizi e alle infrastrutture di Google”, ma ciò che lo aveva realmente stupito era il fatto di aver letto la scritta “Google Confidential” nel footer della pagina.

Lo studente uruguayano, che ha reso noti, in dettaglio – tramite un blog post pubblicato mercoledì scorso – i risultati emersi dalla ricerca condotta, ha dichiarato di non essersi messo in alcun modo a “rovistare” o “curiosare” a destra e sinistra, ed ha subito riferito a Google quanto aveva individuato.

Pereira ha ricevuto una risposta soltanto poche ore dopo aver segnalato il problema al Security Team della società, il quale ha subito esaminato la questione, e ne ha confermato la validità nel pomeriggio dello stesso giorno.

Google ha comunicato al ricercatore che l’entità della ricompensa derivava dal fatto che il Security Team della società di Mountain View “aveva individuato alcune varianti che avrebbero potuto consentire ad un attacker di ottenere l’accesso a dati sensibili”. Pereira ipotizza che Google abbia forse trovato altre app interne accessibili allo stesso modo.

La scoperta del bug in questione è valsa ad Ezequiel Pereira una ricompensa molto più elevata di quanto egli si aspettasse.

“Avevo pensato, tra me e me: ‘Bene, forse è proprio una cosa da poco, che magari non vale nemmeno un centesimo; probabilmente il sito web avrà avuto qualche “roba” tecnica, che riguardava i server di Google, e niente di veramente importante,’ ” ha scritto lo studente mercoledì scorso.

Pereira, che frequenta una scuola superiore di informatica, presso la Universidad del Trabajo del Uruguay, ha dichiarato di essersi interessato per la prima volta alla sicurezza IT quando aveva appena 13 anni, e voleva fare il “furbetto” con i giochi online. Dopo aver iniziato ad annoiarsi con i giochi, ha comunque continuato ad interessarsi dei temi relativi alla sicurezza informatica. Pereira ha rivelato a Threatpost che, pur possedendo un account HackerOne, non lo usa molto, e che pur avendo trovato alcuni bug sui siti di Google, nessuno degli stessi, secondo lui, poteva rivelarsi abbastanza grave da giustificare una ricompensa così alta.

“Mi aspettavo al massimo 500 dollari; ho pensato che si trattasse semplicemente di un leak relativo a qualche informazione interna, che non metteva realmente a rischio Google”, ha sottolineato Pereira, “Non so davvero cosa fare con questi soldi; potrei farci un viaggio da qualche parte – ho sempre desiderato vedere New York – oppure studiare su come investirli.”

Fonte: Threatpost

Post correlati

Leave a Reply

Your email address will not be published. Required fields are marked *