rssyoutubefg

תלמיד תיכון קיבל 10,000$ מגוגל כי עלה על פרצת אבטחה

ESET ישראל
17.08.17

גוגל שילמה לתלמיד תיכון מאורוגוואי 10,000$ אחרי שחשף פגם אבטחה שיכול לאפשר להאקרים לגשת לנתונים רגישים.

איזקיאל פרירה גילה נקודת תורפה בשרת של גוגל לאחר שזייף את הכתובת המארחת (Host header) באמצעות Burp (כלי גרפי לבדיקות אבטחה של יישומי אינטרנט).

תלמיד התיכון הסביר בפוסט בבלוג שלו, "הייתי משועמם, אז ניסיתי למצוא באג כלשהו בגוגל".

לאחר מספר ניסיונות כושלים, הוא הצליח לגשת לדף אינטרנט פנימי שלא בדק את שם המשתמש שלו או דרש ממנו כל אמצעי אבטחה אחר. המניפולציה שעשה בעצם אפשרה לכך שלא יזהו אותו וכך הצליח לחדור לעמוד שגוגל ממש לא מעוניינת שהוא יהיה בו.

לאחר שהתחיל לקרוא את המסמך המסווג, הוא החליט להפסיק את הפעולות ו"דיווח על הבעיה מיד".

חבר בצוות האבטחה של גוגל השיב לו כי הם יבדקו את הנושא ויגיבו לו לאחר שיבדקו את הבאג.

בנקודה זו התלמיד הצעיר חשב שלא יצא שום דבר מהסיפור הזה, "זה כנראה דבר קטן שלא שווה אגורה, לאתר כנראה היה כמה דברים טכניים על שרתי Google, שום דבר חשוב באמת", אמר.

כפי שהתברר הפגם שמצא היה שווה הרבה יותר מאגורה, וגוגל הודיעה לו שהבאגים שעליהם דיווח יזכו אותו ב-10,000 דולר מתוכנית התגמולים לפגמי אבטחה של גוגל (VPR- תוכנית בה גוגל מעניקה פרסים למי שימצא נקודות תורפה בממשקים שלה ובאחרים).

ב -2013 הרחיבה גוגל את מדיניות ה- VPR שלה וכיום היא כוללת מבחר של תוכנות, תוכנית הבאגים הקודמת שלה התמקדה בעיקר במוצרי גוגל.

התלמיד מאורוגוואי אמר כי הוא רוצה להיות חוקר אבטחה בעתיד וסיפר כי היה מרוצה מהטיפול בבעיה וגם אישר כי כעת היא נפתרה, "הבאג תוקן עכשיו, ועל פי גוגל, את הפרס הגדול קיבל כי הם מצאו כמה גרסאות שיאפשרו להאקרים גישה לנתונים רגישים".

אולי כדאי להתחיל ולחפש פרצות אבטחה, לכו תדעו אולי תרוויחו מזה.

  • הדפס
  • דוא"ל

השאר תגובה

להשארת תגובה מלאו את השדות הבאים

eset logo footer© כל הזכויות שמורות לקומסקיור בע"מ 2004-2018, נציגת ESET בישראל. סימנים מסחריים אשר בשימוש באתר זה הינם סימנים מסחריים או
מותגים רשומים של ESET spol. s r.o. או ESET, LLC. כל השמות והמתוגים האחרים הם סימנים מסחריים רשומים של החברות הרשומות

עוצב ונבנה על-ידי פרומו - אסטרטגיה שיווקית ופרסום