南美洲国家乌拉圭一名高中生佩雷拉(Ezequiel Pereira),因为无聊而尝试骇入谷歌,结果发现谷歌伺服器的安全漏洞,获谷歌回报1万美元(约4.29万令吉)赏金。
根据TNW 报导,这名热爱资讯安全(资安)领域的高中生发文称,7月11日因为无聊,而针对谷歌的服务进行许多测试。
其中包含修改主机头(host header)以进入App Engine取用内部应用程式,这个方式在正常情况下必须登入帐号密码。
但是,他发现yaqs.googleplex.com这一网域的安全措施设置有漏洞,无须登入就能连上。
他说,进入首页会重新导向另一网页,网页内还有许多谷歌服务与基础设施的连结,更发现网页注明:“谷歌机密”。
他当天向谷歌举报资安漏洞,随即获得谷歌回复,承诺将评估漏洞的严重性。
佩雷拉以为这是个不起眼的小漏洞,但在8月4日收到谷歌的回信,得知获颁1万美元赏金。
谷歌资安团队表示,已修补相关漏洞。
谷歌指出,颁予大笔奖金以鼓励研究人员借此发现其他相似的错误,因为这些漏洞恐会暴露敏感资讯,导致谷歌面对损失,有关“抓漏”的奖金与规则,可参阅“Google漏洞回报奖励计划”。
