Google paga 10 000 dólares a un estudiante que encontró un error en su sitio web

El mes pasado, Google reparó una falla que pudo haber permitido el acceso de cualquier usuario al sitio interno de Google y, por ende, a datos confidenciales.

El miércoles, la compañía entregó una recompensa de 10 000 dólares al investigador que la descubrió, Ezequiel Pereira, un estudiante uruguayo de secundaria.

Pereira ingresó al sitio por pura casualidad. A principios del mes pasado, el estudiante, que desea ser investigador de seguridad, se encontraba jugueteando con los servicios de Google con la aplicación Burp Suite para cambiar el encabezado Host en las peticiones al servidor de la aplicación Engine. La mayoría de sus intentos obtuvo la respuesta 404, pero un sitio interno, yaqs.googleplex.com no tenía verificación de usuario y contraseña, ni ninguna otra medida de seguridad para este fin.

“No me topé con YAQS por casualidad; lo encontré con una búsqueda de Google”, dijo Pereira a Threatpost el martes. “Buscaba ‘site:googleplex.com’, incluí los resultados omitidos y obtuve como respuesta una interesante lista de algunas aplicaciones de Googleplex, como YAQS”.

Googleplex.com aloja las aplicaciones internas de Google App Engine. El sitio apunta a otro sitio interno, uberproxy.l.google.com, al que los empleados acceden con una cuenta corporativa; una vez detrás del proxy, las peticiones se dirigen a la aplicación Engine, explica Pereira.

Al entrar a Engine, Pereira vio enlaces a “diferentes secciones sobre servicios e infraestructuras de Google”, pero lo que realmente le llamó la atención fue cuando vio “Google Confidential” en el pie de página.

Este investigador, que reveló sus descubrimientos en un artículo de blog el miércoles, dijo que dejó de hurgar en el sitio, y se lo informó a Google.

Pereira recibió una respuesta a las pocas horas de informar sobre el problema al Equipo de Seguridad de la compañía, que evaluó el informe y confirmó su validez esa misma tarde.

Google le comunicó al investigador que el valor de la recompensa estaba relacionado con que el equipo de seguridad de la compañía “encontró nuevas variantes que habrían permitido que un atacante tuviera acceso a datos confidenciales”. Pereira cree que quizás Google encontró otras aplicaciones internas accesibles de la misma manera.

El descubrimiento de la falla le reportó a Pereira una recompensa mayor a la esperada.

“Me dije: ‘Bueno, esto es probablemente algo minúsculo que no vale un centavo, el sitio probablemente tenía algunos problemas técnicos con los servidores de Google, pero nada importante”, Pereira escribió el miércoles.

Pereira, que asiste a una secundaria especializada en informática, Universidad del Trabajo del Uruguay, dijo que comenzó a interesarse por la seguridad cibernética cuando tenía 13 años y quería hacer trampa en los juegos en línea. Después de que se aburrió con los juegos, siguió interesado en la seguridad informática”. Pereira dijo a Threatpost que si bien posee una cuenta de HackerOne, no la utiliza mucho y que aunque ha encontrado algunas fallas en los sitios de Google, ninguna de ellas ha sido tan crítica para una recompensa tan alta.

“No esperaba más de 500 dólares; creí que era sólo una fuga de información interna que no pondría en riesgo a Google”, afirmó Pereira, “No sé qué hacer con el dinero, quizás viaje, siempre quise conocer Nueva York, o quizás busque cómo invertirlo”, concluyó el joven investigador.

Fuente: Threatpost