Google paga 10 mil dólares ao estudante uruguaio que descobriu um bug

Google paga 10 mil dólares ao estudante uruguaio que descobriu um bug

Ezequiel Pereira, um estudante uruguaio, relatou uma falha de segurança que poderia permitir o acesso de atacantes aos dados confidenciais do Google.

Ezequiel Pereira, um estudante uruguaio, relatou uma falha de segurança que poderia permitir o acesso de atacantes aos dados confidenciais do Google.

O Google recompensou um estudante uruguaio com 10 mil dólares depois de ter encontrado uma falha de segurança que poderia permitir que atacantes acessassem a dados confidenciais da empresa.

Ezequiel Pereira descobriu a vulnerabilidade no servidor do App Engine depois de alterar o cabeçalho do Host nas solicitações para o servidor utilizando Burp.

O estudante de ensino médio explicou em uma postagem de um blog: “Eu estava entediado, então tentei encontrar algum erro no Google”.

Após diversas tentativas, ele conseguiu acessar a uma página web interna que não verificava o seu nome de usuário e nem sequer exigia qualquer outra medida de segurança.

Em seguida, Pereira foi redirecionado para a página, “/eng”, e ficou surpreso ao se deparar com um site no qual o Google nunca autorizaria o seu acesso. A página possuía diversos links para conteúdos sobre serviços e infraestrutura da empresa.

Depois de ver que o rodapé da página dizia “Google Confidential”, o estudante decidiu parar e “relatou o problema imediatamente”, segundo disse Pereira.

Um membro da equipe de segurança do Google informou que iria analisar o problema e responderia depois da revisão do erro.

Nesse momento, o estudante pensou que a sua descoberta não seria muito transcendental. E disse a si mesmo: “Legal, isso deve ser algo pequeno que não vale um centavo, o site provavelmente tinha algum conteúdo técnico sobre os servidores do Google, mas não deve ser nada realmente importante”.

No entanto, a falha encontrada valia muito mais do que um centavo, e o Google lhe informou que, devido ao relato, o estudante iria receber 10 mil dólares como parte do programa de recompensas por vulnerabilidades relatadas (VRP).

Em 2013, o Google ampliou a política do VPR para incluir uma seleção de aplicativos de software de alto risco, projetados principalmente para redes. O anterior programa de recompensas de bugs era focado principalmente em produtos do Google.

Entretanto, o estudante uruguaio disse que deseja se tornar um pesquisador de segurança no futuro e que está encantado. Além disso, confirmou que a falha foi resolvida.

“O bug foi resolvido e, segundo o Google, a grande recompensa foi porque encontraram poucas variantes que teriam permitido o acesso de um atacante aos dados confidenciais”, destacou.

Discussão