Google ha recompensado a un estudiante uruguayo con 10.000 dólares, ya que expuso una falla de seguridad que podía permitir a los atacantes acceder a datos confidenciales.
Ezequiel Pereira descubrió la vulnerabilidad en el servidor de Google App Engine después de cambiar el encabezado Host en las solicitudes al servidor utilizando Burp.
El estudiante de secundaria explicó en una entrada de blog: "Estaba aburrido, así que traté de encontrar algún error en Google".
Tras varios intentos fallidos, logró acceder a una página web interna que no comprobaba su nombre de usuario ni requería ninguna otra medida de seguridad.
Fue allí donde Pereira fue redirigido a la página "/eng", y se sorprendió al encontrarse en un sitio en el que Google nunca hubiese querido que estuviera; tenía diversos enlaces a contenidos sobre servicios e infraestructura de la compañía.
Tras ver que el pie de página decía "Google Confidential", decidió detenerse e "informó el problema de inmediato", según su relato.
Un miembro del equipo de seguridad de Google respondió diciendo que examinarían el problema y le responderían una vez que hubieran revisado el error.
En este punto el estudiante pensó que su hallazgo no sería muy trascendental. Se dijo: "Bien, esto debe ser algo pequeño que no vale un centavo, el sitio web probablemente tenía algún contenido técnico sobre los servidores de Google y nada realmente importante".
Sin embargo, resultó que el fallo que encontró valía mucho más que un centavo, y Google le informó que su reporte lo haría recibir 10.000 dólares como parte de su programa de recompensas por vulnerabilidades reportadas (VRP).
En 2013, Google amplió la política del VPR para incluir una selección de aplicaciones de software de alto riesgo, diseñadas principalmente para redes. Su anterior programa de recompensas de bugs se centraba principalmente en los productos de Google.
Entre tanto, el estudiante uruguayo dijo que quiere convertirse en un investigador de seguridad en el futuro y que está encantado. Además, confirmó que el fallo ha sido resuelto.
"El bug ha sido corregido y, según Google, la gran recompensa fue porque encontraron pocas variantes que hubieran permitido a un atacante acceder a datos confidenciales", añadió.
Si quieres seguir su camino y ganar una buena suma de dinero por reportar una falla de seguridad, no te pierdas este artículo donde explicamos cómo reportar una vulnerabilidad.