Investigador reclamará una recompensa de error de $ 15,000 por elegir agujeros en el rastreador de errores de Google

Como hacker ético, puedes ganar mucho dinero. Empresas como Facebook, Google y Microsoft están trabajando con programas de recompensa por errores en los que ofrecen pagos decentes por encontrar agujeros en su software que requieren atención urgente. La recompensa varía según la compañía, el software y la gravedad del error, pero un cazador de errores descubrió que el software de seguimiento de errores de Google es un verdadero tesoro de posibles recompensas, ganando $ 15,633.70 de tres errores diferentes.

Usted puede lea la cuenta completa de Alex Birson aquí para obtener detalles sobre cómo logró acceder a Google Buganizer, pero aquí están los conceptos básicos. El primer exploit que descubrió Birson fue que necesitaría bloquear una dirección de correo electrónico de Google para que los empleados que no son de Google accedan a los servicios internos de seguimiento de errores de Google. Descubrió que sin hacer clic en el enlace de confirmación al registrarse en una cuenta normal de Google, podía cambiar su dirección de correo electrónico a @ google.com sin restricciones. Esto no le dio acceso al Buganizer, pero le dio otros privilegios inusuales, como la posibilidad de llamar a un taxi en el campus de Google. Este error se solucionó en 11 horas y trajo Birsan $ 3,133.70.

Luego, Birson trató de escuchar la discusión sobre los errores eliminando algunos de ellos en el rastreador. Esto le permitió escuchar un poco, pero solo en cuestiones de traducción, donde se discutieron "las mejores formas de transmitir el significado de una frase en diferentes idiomas". Luego, el hacker tenía beneficios limitados, pero aún así lo suficiente como para ganar $ 5,000 adicionales una vez que Google cerró el error cinco horas después.explorer_claims_15000_bug_bounty_by_picking_holes_in_googles_bug_tracker _-_ 1

Finalmente, Birson se puso bajo carga. Después de buscar con la API de Buganizer, descubrió una forma de obtener todos los detalles del error pidiéndole a la API que elimine la dirección de correo electrónico del tema del problema. Este error más grave se rectificó una hora después de que Birson lo informara y le reportó la friolera de $ 7,500.

"Cuando comencé a buscar esta filtración, pensé que sería el Santo Grial de los errores de Google porque revela todos los demás errores", escribe Beerson. “Sin embargo, una vez que lo encontré, rápidamente me di cuenta de que el impacto se mantendría al mínimo porque todas las vulnerabilidades peligrosas se neutralizarían en una hora de todos modos. Así que estoy muy contento con el dinero extra y espero encontrar errores en otros productos de Google".

Se corrigieron tres vulnerabilidades y el hacker ético se enriqueció en $ 15,633.70. Todos ganarán.

Imágenes: justin raicraft y samuel johnson utilizado como parte de Creative Commons

Artículos de interés

Subir