烏拉圭一名高中生Ezequiel Pereira,因為抓出Google伺服器資安漏洞,獲頒1萬美元(約30萬台幣)賞金。
這名熱愛資安領域的高中生發文稱,7月11日時,因為無聊,所以試著尋找Google漏洞。
Ezequiel Pereira針對Google的服務進行許多測試,其中包含修改主機頭(host header)以進入App Engine取用內部應用程式。這個方式在正常情況下必須登入帳號密碼,但他發現yaqs.googleplex.com這一網域的安全措施設置有漏洞,不需登入就能直接連上。進入後,首頁會重新導向另一網頁,網頁內有許多Google服務與基礎設施的連結,頁腳更寫著:「Google機密」。
這名熱心高中生駭客於是決定向Google回報。7月11日,他向Google回報錯誤後隨即收到回覆。Google信中表示,資安小組評估該漏洞嚴重性後會再行聯繫。Ezequiel Pereira原以為只是個不起眼的小漏洞,不過,8月4日他再度收到Google來信,得知獲頒1萬美元賞金。
由於獎金遠高於預期,他好奇回信詢問Google,同時也確認該漏洞是否已修復、可以對外公開。8月9日,Google回覆,雖未詳細說明該網站包含的資訊,不過資安團隊表示,頒予大筆獎金是因為研究人員藉此發現其他相似的錯誤,這些漏洞恐會暴露敏感資訊,導致Google極大損失。Google現在已將相關漏洞一併修補。
如對網路資安有興趣,也想幫Google「抓漏」,相關的獎金與規則,可參閱「Google漏洞回報獎勵計劃」。
