南美洲国家乌拉圭一名高中生佩雷拉(Ezequiel Pereira),因为无聊而尝试骇入谷歌,结果发现谷歌伺服器的安全漏洞,获谷歌回报1万美元(约4.29万令吉)赏金。

根据TNW 报导,这名热爱资讯安全(资安)领域的高中生发文称,7月11日因为无聊,而针对谷歌的服务进行许多测试。

(示意图)
(示意图)

其中包含修改主机头(host header)以进入App Engine取用內部应用程式,这个方式在正常情况下必须登入帐號密码。

但是,他发现yaqs.googleplex.com这一网域的安全措施设置有漏洞,无须登入就能连上。

他说,进入首页会重新导向另一网页,网页內还有许多谷歌服务与基础设施的连结,更发现网页註明:「谷歌机密」。

他当天向谷歌举报资安漏洞,隨即获得谷歌回复,承诺將评估漏洞的严重性。

佩雷拉以为这是个不起眼的小漏洞,但在8月4日收到谷歌的回信,得知获颁1万美元赏金。

谷歌资安团队表示,已修补相关漏洞。

谷歌指出,颁予大笔奖金以鼓励研究人员藉此发现其他相似的错误,因为这些漏洞恐会暴露敏感资讯,导致谷歌面对损失,有关「抓漏」的奖金与规则,可参阅「Google漏洞回报奖励计划」

留言评论: