Google заплатил пользователю за найденные уязвимости 15 тыс. долларов

01.11.2017      17103
Румынский эксперт по кибербезопасности Алекс Бирсан обнаружил в официальном трекере Google три серьезные бреши в безопасности, которые могли дать хакерам доступ к списку всех найденных уязвимостей в продуктах компании.

Дыры безопасности были найдены в Google Issue Tracker (также известном как Buganizer) – приложении для отслеживания сообщений об ошибках безопасности в продуктах компании.

«Buganizer является центральной системой отслеживания ошибок, поэтому весьма вероятно, что в ней также хранятся уязвимости внутренних систем Google. Я провел минимальное исследование, но могу сказать, что там куда более интересная информация, если покопаться», – рассказал Бирсан изданию Bleeping Computer.

По словам Бирсана, найденные им дыры и в защите системы позволяют получить доступ к базе обнаруженных уязвимостей, в том числе еще неисправленных. Обычно к сообщениям баг-трекера имеют доступ только сотрудники Google и эксперты в области уязвимостей. У простых пользователей может быть доступ только к отдельным веткам, в которых они сами оставили сообщение об ошибке. 

Как сообщает Бирсан, являющийся разработчиком на Python в румынской компании, специализирующейся на кибербезопасности, ошибки были выявлены им в период с 27 сентября по 4 октября. При этом он считает себя первым, кто их обнаружил, поскольку не нашел никаких следов использования уязвимостей злоумышленниками.

Всего было выявлено три проблемы:

  • Способ регистрации адреса электронной почты в домене @google.com с использованием общей схемы именования адресов электронной почты Buganizer. 
  • Способ подписки и получения уведомлений об ошибках, к которым у него не должно было быть доступа. 
  • Способ обмана API Buganizer, который может помочь получить доступ к каждой уязвимости.

В Google оперативно отреагировали на сообщение Бирсана об ошибке и выплатили исследователю 3 тыс. долларов за обнаружение первой уязвимости, 5 тыс. долларов – за вторую и 7,5 тыс. долларов за третью.




Автор:
Редактор ленты новостей


Комментарии
В избранное Подписаться на ответы Сортировка: Древо развёрнутое
Свернуть все
1. пользователь 01.11.17 19:16
Сообщение было скрыто модератором.
...
2. PerlAmutor 129 01.11.17 19:46 Сейчас в теме
(1) У меня ситуация похуже, я не могу рапортовать об ошибках вообще, т.к. мой работодатель зажал логин и пароль от ИТС. Когда я его просил мне выдать, то прозвучала фраза "скажи что тебе оттуда нужно, я скачаю". Сейчас хочется ему сказать, что уже как 2 года мне от него ничего не нужно. А когда он мне задает тупые вопросы по программированию хочется тактично отправить его читать ИТС со своим личным логином и паролем...
3. spezc 781 01.11.17 20:12 Сейчас в теме
(2) жесть, незавидную вам. что же вас держит?
9. PerlAmutor 129 01.11.17 21:19 Сейчас в теме
(3) собственный план на ближайшие год-два, который позволит рассчитывать на более выгодное предложение от потенциальных работодателей во время ухода, нежели чем сделать это сейчас, получить прибавку к ЗП в 1.5 раза и потом жить год-два в надежде что он её поднимет до желаемого уровня (что обычно никогда не происходит по инициативе руководства, богатый опыт в этом уже имеется).
dimisa; Rezident495; spezc; +3 Ответить
12. TODD22 18 02.11.17 09:42 Сейчас в теме
(2)
У меня ситуация похуже, я не могу рапортовать об ошибках вообще

Не много потеряли. Зарегистрировать ошибку то ещё удовольствие.

Как то по ошибке в УПП пришлось две недели переписывать с тех поддержкой. В первом же письме был описан способ воспроизведения ошибки, код который приводит к ошибке и как можно исправить. Потом две недели пришлось пробиваться через "Ошибка у нас не воспроизводится, пришлите вашу базу" хотя эта ошибка воспроизводилась даже в типовой демке.
Спустя две недели её зарегистрировали и исправили в следующем вышедшем релизе. С тех пор всё желание отправлять баг репорты отбили на прочь.

Похожая ситуация была когда разрабатывался один отраслевой продукт но под флагом вендора.
Там была проблема с функционалом. Приходилось так же по 2 недели объяснять людям которые отвечают за функционал что так как они придумали никто не работает. Спустя две недели переписок они с этим согласились и вместо того что бы сделать нормально прикрутили невероятный костыль который проблему не решал, а лишь немного упрощал работу. Вместо заполнения 10 реквизитов в 3х местах сделали заполнение 2х реквизитов в одном месте. Но при этом эту операцию вообще выполнять бы не надо. Но хоть так....
Rezident495; +1 Ответить
4. пользователь 01.11.17 20:46
Сообщение было скрыто модератором.
...
5. пользователь 01.11.17 20:47
Сообщение было скрыто модератором.
...
6. пользователь 01.11.17 20:48
Сообщение было скрыто модератором.
...
7. пользователь 01.11.17 20:52
Сообщение было скрыто модератором.
...
8. пользователь 01.11.17 20:56
Сообщение было скрыто модератором.
...
10. пользователь 02.11.17 03:35
Сообщение было скрыто модератором.
...
11. пользователь 02.11.17 09:29
Сообщение было скрыто модератором.
...
Оставьте свое сообщение

См. также

Госдума утвердила законопроект о бессрочное праве на кредитные каникулы

Новость Законодательство ИТ-Новость

Со следующего года все россияне смогут в любое время оформить кредитные каникулы по потребительским кредитам, если попали в трудную жизненную ситуацию. Соответствующий законопроект одобрен Госдумой.

21.07.2023    740    VKuser24342747    0       

2

Открываем рубрику «Книжный клуб»: подборка полезных книг для разработчиков

Новость Развлечения, искусство, спорт Конкурс ИТ-Новость Сообщество

Редакция Инфостарта продолжает тестировать новые форматы: в эфире рубрика книжный клуб. Раз в месяц мы будем публиковать подборку полезных книг от разработчиков и для разработчиков. 

06.02.2023    9082    a_a_burlakov    46       

41

Мем недели: нейросеть ChatGPT написала диплом российскому студенту. И он его защитил

Новость Развлечения, искусство, спорт Искусственный интеллект

Студент одного из российских вузов Александр Жадан рассказал, как написал дипломную работу с помощью нейросети ChatGPT. Чат-бот генерировал текст диплома, а Александр формулировал запросы и редактировал текст нейросети.

03.02.2023    5365    user997184    6       

3

Правительство изменило условия предоставления льготной ипотеки ИТ-специалистам

Новость ИТ-компания ИТ-льготы ИТ-Новость Минцифры

Правительство расширило программу выдачи кредитов на жилье под низкий процент для сотрудников ИТ-компаний. Увеличен возрастной диапазон, снижены требования к заработной плате.

31.01.2023    5778    VKuser24342747    9       

1

Минцифры открыло прием заявок на отсрочку от весеннего призыва

Новость ИТ-льготы ИТ-Новость Минцифры

Собирать информацию для передачи в Министерство обороны ведомство будет до 6 февраля. Право на отсрочку имеют ИТ-специалисты, работающие в аккредитованных компаниях.

24.01.2023    7098    VKuser24342747    0       

2

ФНС рассказала о темпах выдачи электронных подписей по новым правилам

Новость ИТ-Новость ФНС

Налоговики опубликовали первые статистические данные о выданных по новым правилам электронных подписях. А также призвали пользователей оформить новые сертификаты КЭП до конца этого года, не дожидаясь январского ажиотажа.

18.10.2022    6793    ЕленаЧерепнева    0       

1

Минобороны предоставит сотрудникам ИТ-компаний отсрочку от частичной мобилизации

Новость ИТ-Новость

Министерство для обеспечения работы высокотехнологической отрасли намерено освободить от частичной мобилизации разработчиков с высшим образованием из аккредитованных в Минцифры ИТ-компаний.

27.09.2022    5383    VKuser24342747    10       

4

Граждане смогут управлять своими персональными данными через Госуслуги

Новость Безопасность ИТ-Новость

Минцифры намерено создать реестр, в котором будут представлены все согласия на обработку персональных данных. Россияне получат к нему доступ через Госуслуги и смогут отзывать собственные разрешения.

16.09.2022    7823    VKuser24342747    1       

4

В дипломах выпускников колледжей появятся QR-коды со сведениями о компетенциях

Новость ИТ-Новость Образование Цифровая экономика

Минпросвещения сообщило, что при помощи кода можно будет получить подробную информацию о теоретических знаниях и практических навыках студента. Это упростит трудоустройство выпускников.

23.08.2022    6025    VKuser24342747    0       

1

Банки обяжут идентифицировать клиентов через биометрическую систему

Новость Банки Безопасность ИТ-Новость

Центробанк планирует установить обязательное условие регистрации новых клиентов – прохождение идентификации через единую биометрическую систему (ЕБС). Регулятор считает действующие методы регистрации ненадежными.

22.07.2022    5377    VKuser24342747    0       

0

Минцифры запустило на «Госуслугах» сервис с информацией о мерах поддержки ИТ-отрасли

Новость Импортозамещение ИТ-Новость

В новом разделе можно узнать о действующих льготах и преференциях, а также ознакомиться с последними новостями о реализации проектов поддержки и нормативными документами.

10.06.2022    5557    VKuser24342747    0       

2

Минцифры запустит цифровые кафедры в более чем 100 вузах России

Новость ИТ-Новость Минцифры Образование Цифровая экономика

Глава Минцифры Максут Шадаев рассказал о старте программы дополнительного обучения студентов, школьников и взрослых, в ходе которой они смогут овладеть цифровой специальностью.

10.06.2022    6699    VKuser24342747    0       

1

Госдума одобрила к первому чтению упрощенное получение ВНЖ для ИТ-специалистов

Новость ИТ-Новость

Госдума приступила к рассмотрению законопроекта, упрощающего процедуру получения вида на жительство для иностранных разработчиков и их семей. Документ получил также одобрение Совета Федерации.

08.06.2022    5421    VKuser24342747    7       

1

На сайте «Госуслуги» заработал справочник по льготной ипотеке для ИТ-специалистов

Новость ИТ-Новость

На портале работники ИТ-индустрии могут узнать, имеют ли право на получение кредита, где можно его оформить и на каких условиях. Льготная ипотека предоставляется в рамках поддержки ИТ-отрасли.

02.06.2022    6584    VKuser24342747    5       

2

Правительство переведет большую часть госуслуг в онлайн до конца 2023 года

Новость ИТ-Новость Цифровая экономика

Правительство подготовило концепцию поэтапного перехода к цифровому формату предоставления госуслуг. Россияне смогут воспользоваться сервисами в режиме 24/7.

21.04.2022    8468    VKuser24342747    0       

4

В России будут готовить киберспортсменов – с нормативами по бегу и приседаниям

Новость ИТ-Новость

Министерство спорта утвердило стандарт подготовки по компьютерному спорту. Перечня игр или количества фрагов на разряд там нет – зато есть нормативы по общей физической подготовке.

24.01.2022    12926    user1015646    5       

2

«Госуслуги» интегрируют с государственной биометрической системой

Новость ИТ-Новость Минцифры Цифровая экономика

Заходить на сайт «Госуслуг» станет проще. Единую систему идентификации и аутентификации (ЕСИА) сервиса интегрируют с «Единой биометрической системой» (ГИС ЕБС) – Минцифры заключило соответствующий контракт с «Ростелекомом».

24.01.2022    13166    user1015646    0       

0

Унылые пользовательские соглашения-многостраничники могут исчезнуть

Новость ИТ-Новость

Прочитать до конца пользовательское соглашение и понять все юридические формулировки в нем способен только действительно упорный человек. Но вскоре соглашения могут стать короче и понятнее – в США разрабатывают соответствующий законопроект.

18.01.2022    8364    user1015646    0       

3

Стартап с российскими корнями оценили в 17,5 млрд долларов США

Новость ИТ-Новость Управление проектами

Стартап Miro, основанный выходцами из России, привлек 400 млн долларов США в рамках инвестиционного раунда С. В целом же компанию оценили в 17,5 млрд долларов.

12.01.2022    13247    user1015646    2       

4

Банк России с января начнет собирать обезличенные данные о денежных переводах россиян

Новость Банки ИТ-Новость

Центробанк с 2022 года ужесточит контроль потенциально нелегальных платежей между физлицами. Некоторые банки сообщили о необходимости передавать личные данные граждан, но ЦБ отрицает эту информацию.

30.12.2021    19041    VKuser24342747    3       

0

Жители России смогут получить зарплату через СБП

Новость Банки ИТ-Новость Цифровая экономика

Система быстрых платежей, запущенная в начале 2019 года, позволяет моментально переводить деньги, оплачивать товары и услуги. В 2022 году СБП начнут использовать и для выплаты зарплат – правда, пока лишь в пилотном режиме.

27.12.2021    18620    user1015646    3       

1

Госдума начала рассмотрение закона о базовом доходе для семей с детьми

Новость Законодательство ИТ-Новость

В Госдуму внесен законопроект, который устанавливает обязательные выплаты для семей, в которых воспитываются дети до 18 лет. Платежи будут рассчитываться в зависимости от числа членов семейства.

22.12.2021    18891    VKuser24342747    8       

3

«Google Диск» не позволит расшаривать файлы, нарушающие правила сервиса

Новость Google Безопасность ИТ-Новость

Сервис «Google Диск» ввел ограничение на доступ к загруженным файлам, если они нарушают политику компании. Пользователи получат уведомление, если их контент не соответствует правилам хранилища.

21.12.2021    25812    VKuser24342747    3       

1

В России может появиться право на отказ от интернета

Новость Интернет ИТ-Новость

Совет при президенте по правам человека (СПЧ) представил Концепцию по защите прав и свобод человека и гражданина в цифровом пространстве. Одно из положений документа – возможность отказаться от сетевого взаимодействия.

17.12.2021    22689    VKuser24342747    30       

1

На Госуслугах появилось проактивное информирование по сервисам ОМС

Новость ИТ-Новость Здравоохранение Минцифры Мобильные приложения Цифровая экономика

Фонд обязательного медицинского страхования (ФОМС) совместно с Минцифры запустил услугу уведомления граждан о процессе получения медицинских услуг по ОМС.

07.12.2021    16819    VKuser24342747    1       

1