欢迎光临KOTOO财情




乌拉圭高中生EzequielPereira发现Google漏洞,获Google颁发奖金一万美元

2024-11-30 213

我们都知道世界上有很多人以各种理由在关心各大公司的网站系统。有些人还会发现一些问题,用这个问题来偷窃跟破坏的叫骇客,但也有人借此向原厂汇报,通常会更能赢得尊敬。虽说不是每个发现问题的人都能获得尊敬,但今天发现 Google 系统问题的乌拉圭高中生 Ezequiel Pereira 结果成为了英雄:

▲(图片来源

世界上有很多骇客,有的很有威胁性,有的人只志于帮助大公司修复既有的漏洞,或是发现漏洞回报给大公司,今天有位乌拉圭的高中生 Ezequiel Pereira 显然就是发现漏洞并主动告知的那个类型。他因为发现到 Google 系统中的漏洞,并回报给 Google,因而得到 Google 公司所提供的 10,000 美元馈赠。

这位在资安议题上造诣跟天分都很高的学生,在自己的文章中表示,7月11日当天因为无聊,所以试着寻找 Google 漏洞,起初做了许多测试都没有得到结果,他发现到 Google 的系统确实相当牢固,但接下来他发现到了问题,这个问题最后在 Google 眼中视为严重的状况。

Ezequiel Pereira 前面对 Google 的服务有相当多的测试,包含修改 Host Header 试着进入 App Engine 取得内部应用程序。不过这个方式在正常状况下必须登入账号密码。然而他却发现,一个名叫 yaqs.googleplex.com 的网域,在安全设置上具有漏洞,可以不用透过登入就可以直接连上。进入这个网域后,首页会重新导向另一个网页,该网页内有许多 Google 服务与基础设施的连结,页脚还出现耐人寻味的标签:“Google 机密”:
Ezequiel Pereira
▲(图片来源

这显然是无意中找到刚好不需要钥匙开锁的通道,还能绕进去的状态。因此这位高中生骇客决定在 7 月 11 日向 Google 回报,并且很快的就得到了 Google 的回应。Google 表示,资安小组评估该漏洞严重性后,才会给他答复,因此高中生骇客以为这是个芝麻蒜皮大小的漏洞。再怎么说,被高中生发现的漏洞应该没什么大不了吧:

▲(图片来源

事实不是一般人想的那么简单,他在 8 月 4 日收到 Google 的来信,得知该公司将颁给他 10,000 美元的奖金。这已经超出他的预期,而且不是什么小钱。显然他是有点惊喜的。但事情总要有个水落石出,于是他去信询问 Google 到底是怎么了,而且漏洞修复了吗?是否可以把这个事件公开呢。

在 8 月 9 日,高中生骇客收到 Google 的回复,Google 资安小组认为,这个漏洞其实是因为研究人员在研究这项漏洞时发现更大的洞,如果没发现这个问题可能不会察觉到这么大的问题,因此特别颁发奖金鼓励。那个漏洞底下的大洞会有暴露敏感资讯,造成 Google 损失的困扰,现在 Google 已经将相关漏洞一并修复,可以不用担心这个问题。

消息来源

2018-01-07 20:50:00

标签:   资讯头条 kotoo科技资讯 kotoo科技 kotoo科技资讯头条 科技资讯头条 KOTOO商业产经 新闻网 科技新闻网 科技新闻 Kotoo科技新闻网 Kotoo Kotoo科技新闻网 科技新闻 科技新闻网 新闻网 KOTOO商业产经 科技资讯头条 kotoo科技资讯头条 kotoo科技 资讯头条 Kotoo Kotoo科技新闻网 科技新闻 科技新闻网 新闻网 KOTOO商业产经 科技资讯头条 kotoo科技资讯头条 kotoo科技 资讯头条
0