Student verdient 10.000 Dollar mit Google-Bug

Letzten Monat beseitigte Google einen Bug, der es potentiell jedem ermöglicht hätte, auf eine interne Google-Website zuzugreifen und in der Folge auch auf sensitive Daten.

Das Unternehmen verlieh am vergangenen Freitag dem Forscher, dem es gelungen war, die Schwachstelle aufzudecken, eine stolze Prämie von 10.000 Dollar. Dabei handelte es sich um Ezequiel Pereira, Student an einer uruguayischen Fachhochschule.

Pereira stieß aus purer Langeweile auf die Site. Der Student, der nach eigener Aussage Sicherheitsforscher werden möchte, stocherte zu Beginn des letzten Monats mit Hilfe von Burp Suite in Google-Diensten herum, um den Host-Header in Anfragen an den App Engine-Server zu ändern. Während die meisten dieser Versuche mit einer Fehlermeldung 404 endeten, war auf einer internen Website – yaqs.googleplex.com – weder eine Authentifizierung mit Nutzername und Kennwort erforderlich, noch gab es diesbezüglich irgendwelche anderen Sicherheitsmaßnahmen.

„Ich bin nicht zufällig auf YAQS gestoßen, ich habe die Site mit einer Google-Suche gefunden“, erklärte Pereira am Donnerstag gegenüber Threatpost. „Ich habe gesucht nach „site:googleplex.com“, habe die ausgelassenen Ergebnisse eingeschlossen und es kam eine nette Liste von Googleplex-Apps heraus, darunter auch YAQS.“

Googleplex.com hostet interne Google App Engine-Apps. Die Website selbst verweist auf eine interne Site – uberproxy.l.google.com – auf der sich Mitarbeiter mit einem Arbeits-Account einloggen müssen; seien sie erst einmal hinter dem Proxy, würden Anfragen zu der App Engine geleitet, behauptet Pereira.

Sobald er drin war, sagte Pereira, habe er Links zu „verschiedenen Bereichen über Google-Services und -Infrastruktur,“ gesehen. Wirklich überzeugt davon, einer großen Sache auf der Spur zu sein, war Pereira aber in dem Moment, als er „Google Confidential“ in der Fußzeile las.

Der Forscher, der seine Entdeckung am Mittwoch in einem Blogeintrag veröffentlichte, sagte, er habe nicht allzu viel herumgestochert und gewühlt, sondern Google über das Problem informiert.

Pereira erhielt nur einige Stunden, nachdem er dem Sicherheitsteam des Unternehmens von dem Problem berichtet hatte, eine Antwort. Noch am selben Nachmittag hat das Team seinen Bericht gesichtet und die Relevanz des Problems bestätigt.

Google erklärte dem Forscher, die Höhe der Belohnung leite sich ab von der Tatsache, dass das Sicherheitsteam des Unternehmens „einige Varianten gefunden habe, die es einem Angreifer ermöglicht hätten, auf sensible Daten zuzugreifen.“ Pereira nimmt an, dass Google weitere interne Apps gefunden hat, auf die auf dieselbe Weise zugegriffen werden kann.

Der Bug brachte eine wesentlich höhere Belohnung ein als Pereira erwartet hatte.

„Ich dachte so bei mir ‚Cool, das ist vermutlich eine kleine Sache, die keinen Pfennig wert ist, die Website enthielt wahrscheinlich irgendwelches technisches Zeugs über Google-Server und nichts wirklich Wichtiges'“, schrieb Pereira am Mittwoch.

Pereira, der eine technische Fachhochschule, die Universidad del Trabajo del Uruguay, besucht, interessierte sich nach eigenen Angaben erstmals im Alter von 13 Jahren für Sicherheit, als er in Online-Spielen schummeln wollte. Nachdem ihm die Spiele zu langweilig geworden waren, beschäftigte er sich weiter mit Computersicherheit. Pereira erzählte Threatpost, dass er zwar über einen HackerOne-Account verfüge, diesen aber nur wenig nutze, und dass er zwar eine Handvoll Bugs auf Google-Websites gefunden habe, keiner von denen aber ernsthaft genug für eine so hohe Belohnung sei.

„Ich habe allerhöchstens 500 Dollar erwartet, ich dachte es seien lediglich ein paar interne Informationen abgeflossen und Google sei nicht wirklich einem Risiko ausgesetzt“, sagte Pereira. „Ich weiß nicht, was ich mit dem Geld anfangen soll, ich könnte irgendwohin fahren – ich wollte schon immer mal New York sehen – oder ich lerne, wie man es gut anlegt.“

Quelle: Threatpost