O Google recompensou um estudante uruguaio com 10 mil dólares depois de ter encontrado uma falha de segurança que poderia permitir que atacantes acessassem a dados confidenciais da empresa.
Ezequiel Pereira descobriu a vulnerabilidade no servidor do App Engine depois de alterar o cabeçalho do Host nas solicitações para o servidor utilizando Burp.
O estudante de ensino médio explicou em uma postagem de um blog: "Eu estava entediado, então tentei encontrar algum erro no Google".
Após diversas tentativas, ele conseguiu acessar a uma página web interna que não verificava o seu nome de usuário e nem sequer exigia qualquer outra medida de segurança.
Em seguida, Pereira foi redirecionado para a página, "/eng", e ficou surpreso ao se deparar com um site no qual o Google nunca autorizaria o seu acesso. A página possuía diversos links para conteúdos sobre serviços e infraestrutura da empresa.
Depois de ver que o rodapé da página dizia “Google Confidential”, o estudante decidiu parar e "relatou o problema imediatamente", segundo disse Pereira.
Um membro da equipe de segurança do Google informou que iria analisar o problema e responderia depois da revisão do erro.
Nesse momento, o estudante pensou que a sua descoberta não seria muito transcendental. E disse a si mesmo: “Legal, isso deve ser algo pequeno que não vale um centavo, o site provavelmente tinha algum conteúdo técnico sobre os servidores do Google, mas não deve ser nada realmente importante”.
No entanto, a falha encontrada valia muito mais do que um centavo, e o Google lhe informou que, devido ao relato, o estudante iria receber 10 mil dólares como parte do programa de recompensas por vulnerabilidades relatadas (VRP).
Em 2013, o Google ampliou a política do VPR para incluir uma seleção de aplicativos de software de alto risco, projetados principalmente para redes. O anterior programa de recompensas de bugs era focado principalmente em produtos do Google.
Entretanto, o estudante uruguaio disse que deseja se tornar um pesquisador de segurança no futuro e que está encantado. Além disso, confirmou que a falha foi resolvida.
“O bug foi resolvido e, segundo o Google, a grande recompensa foi porque encontraram poucas variantes que teriam permitido o acesso de um atacante aos dados confidenciais”, destacou.