Sydamerikansk teenager finder vej til fortrolige oplysninger på intern Googleportal

En 17-årig skoleelev har fået over 63.000 kroner fra Google for at finde en vej ind til deres interne portal med fortrolige oplysninger uden at skulle logge ind.

En elev, Ezequiel Pereira, fra Uruguay, brugte tid i sin sommerferie på at prikke til Google og specifikt Googles App Engine. Efter et par forsøg var han inde et sted, hvor der i host headeren stod ‘Google confidential’, skriver the Register.

Han meldte med det samme ind til Googles sikkerhedsteam, at der var noget, de skulle se på, og forventede ikke at høre mere.

Indtil en dag, hvor der i hans mailboks var en e-mail fra Googles sikkerhedsteam om, at han ville modtage 10.000 dollars for at indberette sikkerhedshullet.

Omgik log-in til intern portal

Pereira benyttede sig af Burp til at manipulere med host headeren i web connections til Googles App Engine. Han gik målrettet efter sider, som er beskyttet af MOMA, en portal kun for ansatte hos Google.

Portalen kræver normalt et log-in, men tilsyneladende kunne Pereira godt tilgå flere af siderne uden at logge ind, hvilket indikerer, at ikke alle delene af portalen tjekkede, at en gæst var autoriseret til at se indholdet.

Læs også: Flere almindelige virksomheder tilbyder dusør for at afsløre sikkerhedshuller

Ved at tilslutte en offentlig Google-service, eksempelvis www.appspot.com, og efterfølgende skifte host headeren i HTTP til for eksempel yaqs.googleplex.com kom Pereira ind på Googles interne projektstyringssystem YAQS.

Her skulle systemet have krævet et MOMA log-in, men Pereira kom direkte ind og kunne se sider kaldet ‘Google confidential’.

Inden han kom så langt, var der en række mislykkede forsøg. Pereira fortæller til The Register, at serveren enten svarede med en ‘404 Not Found’, eller også tjekkede den, om Pereira brugte en 'Googler account', eksempel@google.com, og ikke bare en normal Google-konto.

Det var lige indtil, han forsøgte sig med ‘yaqs.googleplex.com’, som ikke tjekkede brugernavn eller havde væsentlige sikkerhedstjek. I stedet sendte siden ham videre til “/eng”, hvor Pereira havde adgang til fortrolige links til mange forskellige sektioner om Google og dets infrastruktur.

Du kan læse hans egen beretning her.

Ikke ny i gamet

Herefter skyndte den 17-årige Pereira at skrive til Google og ellers lukke ned. Og det resulterede altså i lidt over 63.000 kroner.

Læs også: Sikkerhedsfirmaer overvejer at købe info fra hackere

Googles systemer er ikke helt nye for skoleeleven. Han har tidligere modtaget belønninger for at have fundet brister hos Google. Og han har for et par år siden vundet Googles årlige Code-in-programmeringskonkurrence for skoleelever. Dér vandt han en tur til San Fransisco og Googleplex i Californien.

Hvad han vil bruge pengene på er endnu usikkert. Investeringer eller ferie. Måske der er råd til begge dele. Beløbet svarer til fem måneders gennemsnitsindtjening i Uruguay.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (3)
Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017