תלמיד תיכון קיבל 10,000 דולרים מגוגל כי עלה על פרצת אבטחה
מאת:
מערכת Telecom News, 17.8.17, 16:22
זאת, לאחר שחשף פגם אבטחה, שיכול לאפשר להאקרים לגשת לנתונים רגישים.
דווח בבלוג של חב' האבטחה ESET, שהתלמיד
איזקיאל פרירה מאורוגוואי, גילה נקודת תורפה בשרת של גוגל לאחר שזייף את הכתובת המארחת
(Host header) באמצעות
,Burp שהוא כלי גרפי לבדיקות אבטחה של יישומי אינטרנט.
תלמיד התיכון הסביר
בפוסט בבלוג שלו, "הייתי משועמם, אז ניסיתי למצוא באג כלשהו בגוגל".
לאחר מספר ניסיונות כושלים, הוא הצליח לגשת לדף אינטרנט פנימי, שלא בדק את שם המשתמש שלו או דרש ממנו כל אמצעי אבטחה אחר. המניפולציה שעשה, בעצם, אפשרה, שלא יזהו אותו וכך הצליח לחדור לעמוד, שגוגל ממש לא מעוניינת, שהוא יהיה בו
.
לאחר שהתחיל לקרוא את המסמך המסווג, הוא החליט להפסיק את הפעולות ו"דיווח על הבעיה מיד"
.
חבר בצוות האבטחה של גוגל השיב לו, שהם יבדקו את הנושא ויגיבו לו לאחר שיבדקו את הבאג
.
בנקודה זו התלמיד הצעיר חשב, שלא יצא שום דבר מהסיפור הזה, "זה כנראה דבר קטן שלא שווה אגורה, לאתר כנראה היו כמה דברים טכניים על שרתי
Google, שום דבר חשוב באמת", אמר
.
כפי שהתברר, הפגם שמצא היה שווה הרבה יותר מאגורה, וגוגל הודיעה לו, שהבאגים, שעליהם דיווח, יזכו אותו ב-10,000 דולרים
מתוכנית התגמולים לפגמי אבטחה של גוגל - VPR - תוכנית בה גוגל מעניקה פרסים למי שימצא נקודות תורפה בממשקים שלה ובאחרים
.
ב-2013 הרחיבה גוגל את מדיניות ה-
VPRשלה וכיום היא כוללת מבחר של תוכנות. תוכנית הבאגים הקודמת שלה התמקדה בעיקר במוצרי גוגל
.
התלמיד מאורוגוואי אמר, שהוא רוצה להיות חוקר אבטחה בעתיד וסיפר, שהיה מרוצה מהטיפול בבעיה וגם אישר, שכעת היא נפתרה, "הבאג תוקן עכשיו, ועפ" גוגל, את הפרס הגדול קיבל כי הם מצאו כמה גרסאות, שתאפשרנה להאקרים גישה לנתונים רגישים"
.
אולי כדאי להתחיל ולחפש פרצות אבטחה, לכו תדעו אולי תרוויחו מזה
.