Sydamerikansk teenager finder vej til fortrolige oplysninger på intern Googleportal

sikkerhed fejl ups
En 17-årig skoleelev har fået over 63.000 kroner fra Google for at finde en vej ind til deres interne portal med fortrolige oplysninger uden at skulle logge ind.

En elev, Ezequiel Pereira, fra Uruguay, brugte tid i sin sommerferie på at prikke til Google og specifikt Googles App Engine. Efter et par forsøg var han inde et sted, hvor der i host headeren stod ‘Google confidential’, skriver the Register.

Han meldte med det samme ind til Googles sikkerhedsteam, at der var noget, de skulle se på, og forventede ikke at høre mere.

Indtil en dag, hvor der i hans mailboks var en e-mail fra Googles sikkerhedsteam om, at han ville modtage 10.000 dollars for at indberette sikkerhedshullet.

Omgik log-in til intern portal

Pereira benyttede sig af Burp til at manipulere med host headeren i web connections til Googles App Engine. Han gik målrettet efter sider, som er beskyttet af MOMA, en portal kun for ansatte hos Google.

Portalen kræver normalt et log-in, men tilsyneladende kunne Pereira godt tilgå flere af siderne uden at logge ind, hvilket indikerer, at ikke alle delene af portalen tjekkede, at en gæst var autoriseret til at se indholdet.

Læs også: Flere almindelige virksomheder tilbyder dusør for at afsløre sikkerhedshuller

Ved at tilslutte en offentlig Google-service, eksempelvis www.appspot.com, og efterfølgende skifte host headeren i HTTP til for eksempel yaqs.googleplex.com kom Pereira ind på Googles interne projektstyringssystem YAQS.

Her skulle systemet have krævet et MOMA log-in, men Pereira kom direkte ind og kunne se sider kaldet ‘Google confidential’.

Inden han kom så langt, var der en række mislykkede forsøg. Pereira fortæller til The Register, at serveren enten svarede med en ‘404 Not Found’, eller også tjekkede den, om Pereira brugte en 'Googler account', eksempel@google.com, og ikke bare en normal Google-konto.

Det var lige indtil, han forsøgte sig med ‘yaqs.googleplex.com’, som ikke tjekkede brugernavn eller havde væsentlige sikkerhedstjek. I stedet sendte siden ham videre til “/eng”, hvor Pereira havde adgang til fortrolige links til mange forskellige sektioner om Google og dets infrastruktur.

Du kan læse hans egen beretning her.

Ikke ny i gamet

Herefter skyndte den 17-årige Pereira at skrive til Google og ellers lukke ned. Og det resulterede altså i lidt over 63.000 kroner.

Læs også: Sikkerhedsfirmaer overvejer at købe info fra hackere

Googles systemer er ikke helt nye for skoleeleven. Han har tidligere modtaget belønninger for at have fundet brister hos Google. Og han har for et par år siden vundet Googles årlige Code-in-programmeringskonkurrence for skoleelever. Dér vandt han en tur til San Fransisco og Googleplex i Californien.

Hvad han vil bruge pengene på er endnu usikkert. Investeringer eller ferie. Måske der er råd til begge dele. Beløbet svarer til fem måneders gennemsnitsindtjening i Uruguay.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (3)

Kommentarer (3)
Peter Hansen

Der menes sikkert husstandsindkomst, som samme sted angives at være 2.000 USD/md. Det tyder i øvrigt på betydelig indkomstskævhed eller forskel i erhvervsfrekvens mellem kønnene...

Log ind eller opret en konto for at skrive kommentarer

Pressemeddelelser

Affecto Denmark reaches highest Microsoft Partner level

Affecto Denmark, a leading provider of data-driven solutions, has reached the highest level in the Microsoft partner ecosystem: Managed Partner.
22. jun 2017

Innovate your business with Affecto's IoT Explorer Kit

Are you unsure if Internet of Things fits your business strategy?
31. maj 2017

Big Data Lake Summit: Fast and Trusted Insights

If you want to outpace, outsmart and outperform your competition in a digital world, you need trusted data that can be turned into actionable business insights at speed.
24. apr 2017