News

Studente di una scuola superiore di informatica incassa ben 10.000 $ per aver scoperto un bug di Google

Nel mese scorso Google ha risolto un bug che avrebbe potuto consentire a chiunque di ottenere l’accesso ad un  sito interno di Google e accedere, di conseguenza, a dati sensibili.

La società di Mountain View ha elargito, venerdì 4 agosto, una cospicua ricompensa – 10.000 dollari $ – al ricercatore che ha scoperto il bug; si tratta di Ezequiel Pereira, uno studente uruguayano che frequenta, attualmente, una scuola superiore di informatica.

E pensare che Pereira si è imbattuto sul sito… più o meno per vincere la noia. Lo studente, che afferma di voler divenire ricercatore nel campo della sicurezza IT, stava in effetti “curiosando”, all’inizio del mese scorso, tra i servizi di Google, utilizzando Burp Suite per cercare di modificare l’intestazione Host nelle richieste inviate al server di App Engine. Mentre la maggior parte dei suoi tentativi restituiva la classica risposta 404, un sito interno, yaqs.googleplex.com, non presentava alcuna verifica di tipo username/password, o qualsiasi altra misura di sicurezza per quanto sopra descritto.

“Non mi sono comunque imbattuto per caso su YAQS; l’ho trovato con una ricerca su Google”, ha riferito giovedì scorso, a Threatpost, Ezequiel Pereira, “Ho semplicemente ricercato “site:googleplex.com”, includendo i risultati omessi, ed il motore di ricerca ha restituito un bell’elenco di alcune app di Googleplex, tra cui YAQS”.

Googleplex.com ospita le applicazioni interne dell’App Engine di Google. Il sito stesso punta ad un sito interno, uberproxy.l.google.com, che richiede al personale di effettuare il login tramite un account utilizzato in ambito lavorativo; una volta superato il proxy, le richieste vengono instradate all’App Engine, afferma Pereira.

Ezequiel ha riferito di aver visto, una volta all’interno, numerosi link a “varie sezioni relative ai servizi e alle infrastrutture di Google”, ma ciò che lo aveva realmente stupito era il fatto di aver letto la scritta “Google Confidential” nel footer della pagina.

Lo studente uruguayano, che ha reso noti, in dettaglio – tramite un blog post pubblicato mercoledì scorso – i risultati emersi dalla ricerca condotta, ha dichiarato di non essersi messo in alcun modo a “rovistare” o “curiosare” a destra e sinistra, ed ha subito riferito a Google quanto aveva individuato.

Pereira ha ricevuto una risposta soltanto poche ore dopo aver segnalato il problema al Security Team della società, il quale ha subito esaminato la questione, e ne ha confermato la validità nel pomeriggio dello stesso giorno.

Google ha comunicato al ricercatore che l’entità della ricompensa derivava dal fatto che il Security Team della società di Mountain View “aveva individuato alcune varianti che avrebbero potuto consentire ad un attacker di ottenere l’accesso a dati sensibili”. Pereira ipotizza che Google abbia forse trovato altre app interne accessibili allo stesso modo.

La scoperta del bug in questione è valsa ad Ezequiel Pereira una ricompensa molto più elevata di quanto egli si aspettasse.

“Avevo pensato, tra me e me: ‘Bene, forse è proprio una cosa da poco, che magari non vale nemmeno un centesimo; probabilmente il sito web avrà avuto qualche “roba” tecnica, che riguardava i server di Google, e niente di veramente importante,’ ” ha scritto lo studente mercoledì scorso.

Pereira, che frequenta una scuola superiore di informatica, presso la Universidad del Trabajo del Uruguay, ha dichiarato di essersi interessato per la prima volta alla sicurezza IT quando aveva appena 13 anni, e voleva fare il “furbetto” con i giochi online. Dopo aver iniziato ad annoiarsi con i giochi, ha comunque continuato ad interessarsi dei temi relativi alla sicurezza informatica. Pereira ha rivelato a Threatpost che, pur possedendo un account HackerOne, non lo usa molto, e che pur avendo trovato alcuni bug sui siti di Google, nessuno degli stessi, secondo lui, poteva rivelarsi abbastanza grave da giustificare una ricompensa così alta.

“Mi aspettavo al massimo 500 dollari; ho pensato che si trattasse semplicemente di un leak relativo a qualche informazione interna, che non metteva realmente a rischio Google”, ha sottolineato Pereira, “Non so davvero cosa fare con questi soldi; potrei farci un viaggio da qualche parte – ho sempre desiderato vedere New York – oppure studiare su come investirli.”

Fonte: Threatpost

Studente di una scuola superiore di informatica incassa ben 10.000 $ per aver scoperto un bug di Google

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox