烏拉圭高中生 Ezequiel Pereira 發現 Google 漏洞,獲 Google 頒發獎金一萬美元

我們都知道世界上有很多人以各種理由在關心各大公司的網站系統。有些人還會發現一些問題,用這個問題來偷竊跟破壞的叫駭客,但也有人藉此向原廠匯報,通常會更能贏得尊敬。雖說不是每個發現問題的人都能獲得尊敬,但今天發現 Google 系統問題的烏拉圭高中生 Ezequiel Pereira 結果成為了英雄:

▲(圖片來源

世界上有很多駭客,有的很有威脅性,有的人只志於幫助大公司修復既有的漏洞,或是發現漏洞回報給大公司,今天有位烏拉圭的高中生 Ezequiel Pereira 顯然就是發現漏洞並主動告知的那個類型。他因為發現到 Google 系統中的漏洞,並回報給 Google,因而得到 Google 公司所提供的 10,000 美元餽贈。

這位在資安議題上造詣跟天分都很高的學生,在自己的文章中表示,7月11日當天因為無聊,所以試著尋找 Google 漏洞,起初做了許多測試都沒有得到結果,他發現到 Google 的系統確實相當牢固,但接下來他發現到了問題,這個問題最後在 Google 眼中視為嚴重的狀況。

Ezequiel Pereira 前面對 Google 的服務有相當多的測試,包含修改 Host Header 試著進入 App Engine 取得內部應用程式。不過這個方式在正常狀況下必須登入帳號密碼。然而他卻發現,一個名叫 yaqs.googleplex.com 的網域,在安全設置上具有漏洞,可以不用透過登入就可以直接連上。進入這個網域後,首頁會重新導向另一個網頁,該網頁內有許多 Google 服務與基礎設施的連結,頁腳還出現耐人尋味的標籤:「Google 機密」:
Ezequiel Pereira
▲(圖片來源

這顯然是無意中找到剛好不需要鑰匙開鎖的通道,還能繞進去的狀態。因此這位高中生駭客決定在 7 月 11 日向 Google 回報,並且很快的就得到了 Google 的回應。Google 表示,資安小組評估該漏洞嚴重性後,才會給他答覆,因此高中生駭客以為這是個芝麻蒜皮大小的漏洞。再怎麼說,被高中生發現的漏洞應該沒什麼大不了吧:

▲(圖片來源

事實不是一般人想的那麼簡單,他在 8 月 4 日收到 Google 的來信,得知該公司將頒給他 10,000 美元的獎金。這已經超出他的預期,而且不是什麼小錢。顯然他是有點驚喜的。但事情總要有個水落石出,於是他去信詢問 Google 到底是怎麼了,而且漏洞修復了嗎?是否可以把這個事件公開呢。

在 8 月 9 日,高中生駭客收到 Google 的回覆,Google 資安小組認為,這個漏洞其實是因為研究人員在研究這項漏洞時發現更大的洞,如果沒發現這個問題可能不會察覺到這麼大的問題,因此特別頒發獎金鼓勵。那個漏洞底下的大洞會有暴露敏感資訊,造成 Google 損失的困擾,現在 Google 已經將相關漏洞一併修復,可以不用擔心這個問題。

消息來源

您也許會喜歡:

【隱藏好康】4G吃到飽只要$288 還可以自由配!?