Google er et av IT-selskapene som betaler dusør til de som oppdager kritiske feil og sårbarheter og rapporterer tilbake på en ansvarlig måte.
Alex Birsan er sikkerhetsforskeren som klarte å bryte seg inn i Googles egen Issue Tracker, en intern katalog over innkomne rapporter og arbeid med å lukke sårbarhetene.
Åpningen han fant i systemet for sårbarheter utløste en dusør på til sammen 15 600 dollar eller drøyt 125 000 kroner. I en artikkel på Medium forklarer han hvordan han kom seg inn i systemet som Google internt kaller Buganizer.
Skaffet seg Google-adresse
Katalogen er delvis åpen for publikum, slik at eksterne og partnere kan samarbeide med Googles ingeniører om å rette feil, men de åpne meldingene skal bare være toppen av isfjellet.
Adgang til hele katalogen, inkludert ukjente kritiske sårbarheter i Googles produkter, fikk Birsan etter å ha manipulert Gmail til å gi ham en @google.com-epostadresse, noe som egentlig skal være forbeholdt selskapets ansatte.
– Kontoen ga en rekke ekstra fordeler andre steder på internett, inkludert muligheten til å benytte Googles interne drosjetjeneste, muligens gratis. Dessverre var det ikke mulig å logge seg inn på Googles intranett med denne kontoen, skriver han.
Ved å snoke videre fant han imidlertid flere sårbarheter i Buganizer, blant annet programmeringsgrensesnitt med manglende tilgangskontroll. Ved å manipulere HTTP-spørringer var det ifølge Birsan mulig å hente ut hele databasen med detaljerte sårbarhetsrapporter.
Rask responstid
Google bekrefter funnet i en kommentar til nettstedet Motherboard.
– Vi setter pris på det arbeidet Alex har gjort. Sårbarhetene han meldte inn, samt varianter av disse er blitt lukket, sier en talsperson for selskapet.
Ifølge sikkerhetsforsker Alex Birsan brukte ikke Google mer enn én time på å stenge den mest kritiske sårbarheten han rapporterte inn.
Nylig avdekket for øvrig nyhetsbyrådet Reuters at en hackergruppe klarte å bryte seg inn i Microsofts interne sårbarhetsdatabase tilbake i 2013. Det antas at samme gruppe har brutt seg inn hos flere andre amerikanske teknologigiganter.
- Innbrudd hos Microsoft: Hackere brøt seg inn i sårbarhetsdatabase