Den 17-årige urugyaneren Ezequiel Pereira lyktes med å ta seg inn i Googles interne systemer. Han ble belønnet med 10 000 dollar for funnet.
Kom seg inn i de interne systemene
– Jeg tenkte det var en veldig enkel bug og forventet ikke en så stor belønning. Jeg får kanskje lære meg hvordan man skal investere, eller kanskje jeg reiser på ferie til et fint sted, sier han til The Register.
Pereira oppdaget sikkerhetshullet da han fiklet med sikkerhetsverktøyet Burp. 17-åringen ønsket å sjekke om han kunne komme seg inn til selskapets interne apper ved å manipulere vertshodet, «host header», når man kobler til Google Apple Engine.
Først ble Pereira stanset av Moma, innloggingssiden til Googles intranett, men så lyktes han med å ta seg inn.
Annonse
Ble godt belønnet
Peraira endret headeren til «yaqs.googleplex.com», uten at han måtte taste inn brukernavn eller liknende, og så var han inne på en side som inneholdt flere lenker til ulike Google-tjenester. Nederst på siden stod det «Google Confidential».
Det var da 17-åringen stanset snokingen og tok kontakt med Google for å rapportere om svakheten i systemet.
Sikkerhetssvakheten ble innrapportert 11. juli og Google har senere tettet hullet, melder Pereira.
Kilder:
The Register,
Ezequel Pereira
Annonse
