Подросток из Уругвая заработал $10 000, обнаружив баг в Google App Engine

17-летний школьник из Уругвая Эсекьель Перейра (Ezequiel Pereira) нашел баг в Google App Engine, позволявший просматривать внутренние документы Google, за что получил вознаграждение $10 000.

На досуге Перейра изучал Google App Engine в поисках багов и использовал Burp для изменения Host header. Целью исследователя были страницы, защищенные авторизацией через MOMA, то есть портал, доступный только сотрудникам Google, который действует как ÜberProxy.

Хотя в большинстве случаев подмена запроса приводила лишь к ошибке 404, в итоге исследователь обнаружил, что систему все-таки можно обмануть, подключившись к публичному сервису (к примеру,appspot.com) и подменив в HTTP-запросе Host header (к примеру, на yaqs.googleplex.com). Перейра заметил, что для доступа к системе управления проектами YAQS должна требоваться MOMA-авторизация, однако проверка юзернейма не производилась, и исследователь получил возможность просматривать информацию, предназначенную только для сотрудников и отмеченную грифом Google Confidential.

Исследователь немедленно сообщил о своей находке инженерам Google, а в начале августа Перейра узнал, что за обнаружение бага ему выдадут вознаграждение в размере $10 000. По словам исследователя, сумма его удивила, и он не ожидал получить так много за столь простой баг. Как пояснили представители Google, им удалось обнаружить несколько модификаций для этого эксплоита, позволявших получить доступ к различным конфиденциальным данным.