0 Compartilhamentos 351 Views

Pesquisador de segurança invadiu sistema de bugs do Google

31 de outubro de 2017

Imagine o que um hacker poderia fazer se tivesse acesso à lista interna completa de todas as vulnerabilidades detectadas em produtos e serviços do Google e ainda não corrigidas. Foi exatamente isso o que um pesquisador de segurança conseguiu.

Forjando um email corporativo da empresa, Alex Birsan conseguiu acesso com privilégio máximo aos relatórios de falhas de seguranças mais graves disponíveis no sistema Issue Tracker do Google.

Embora o sistema seja relativamente público, ele permite que caçadores de bugs e pesquisadores de segurança submetam e acompanhem o status das vulnerabilidades que descobrem. Mas Birsan penetrou nos bastidores do serviço, simulando uma conta Gmail supostamente pertencente ao próprio Google. A conta não foi verificada e o Issue Tracker automaticamente concedeu ao pesquisador permissões de administrador, como se ele fosse funcionário da empresa, permitindo a interação com bugs enviados por outras pessoas.

Alterando o valor das requisições, o pesquisador detectou mais uma brecha e obteve acesso para visualizar todos os bugs listados, incluindo os mais críticos, perigosos e ainda não corrigidos. Uma terceira falha na segurança permitiria também que Birsan extraísse esses dados do sistema com facilidade e permitiria inclusive que fosse montada uma estrutura de monitoramento em tempo real de todos os bugs enviados ao Issue Tracker.

Segundo o pesquisador, ele esbarrou no “Cálice Sagrado dos bugs do Google”. Mas ele explicou em entrevista que para um invasor fazer uso das informações obtidas seria necessário contar com uma infraestrutura operacional bastante robusta, uma vez que as vulnerabilidades mais graves costumam ser corrigidas em questão de horas. Um ataque em larga escala que explorasse as vulnerabilidades disponíveis no Issue Tracker seria praticamente impossível, mas ele conta que uma operação conduzida por um governo hostil e focada em alvos específicos poderia se beneficiar do conteúdo do Issue Tracker.

Felizmente, as brechas exploradas por Alex Birsan para penetrar no sistema já foram corrigidas pelo Google, tão logo ele as reportou à empresa. Por sua descoberta, o Google garantiu ao pesquisador uma recompensa no valor de cerca de 15 mil dólares, além de um adicional de três mil dólares como incentivo para que ele continue procurando falhas de segurança no funcionamento do Issue Tracker.

Carregando...

Você pode se interessar

Como se tornar um Engenheiro DevOps em 2021
Notícias
7 visualizações
Notícias
7 visualizações

Como se tornar um Engenheiro DevOps em 2021

Carlos L. A. da Silva - 1 de março de 2021

A consultora de DevOps e evangelista Nana Janashia apresenta um passo a passo de tudo que você precisa saber para dominar o DevOps em 2021.

Quanto ganha um programador? Confira uma das maiores pesquisas salariais realizadas no Brasil
Notícias
11 visualizações
Notícias
11 visualizações

Quanto ganha um programador? Confira uma das maiores pesquisas salariais realizadas no Brasil

Redação - 23 de fevereiro de 2021

O Canal Código Fonte TV realizou uma pesquisa salarial com mais de 11 mil programadores brasileiros. Entre os dados coletados é possível analisar a média salarial por: tecnologia, idade, gênero, região, entre muitos outros insights.

Seus dados vazaram. E agora?
Artigos
13 visualizações
Artigos
13 visualizações

Seus dados vazaram. E agora?

Carlos L. A. da Silva - 19 de fevereiro de 2021

Seus dados pessoais foram vazados e essa é uma verdade praticamente inevitável. A meta agora é minimizar os possíveis danos e cobrar autoridades.

Deixe um Comentário

Your email address will not be published.

Mais publicações

Entendendo o elemento time em HTML 5
Artigos
19 visualizações
19 visualizações

Entendendo o elemento time em HTML 5

Carlos L. A. da Silva - 5 de fevereiro de 2021
Como cortar texto sem usar uma linha de script
Dicas
26 visualizações
26 visualizações

Como cortar texto sem usar uma linha de script

Carlos L. A. da Silva - 11 de janeiro de 2021
Como começar a programar
Artigos
32 visualizações
32 visualizações

Como começar a programar

Carlos L. A. da Silva - 7 de janeiro de 2021
Como cancelar qualquer conta online para sempre
Dicas
34 visualizações
34 visualizações

Como cancelar qualquer conta online para sempre

Carlos L. A. da Silva - 30 de dezembro de 2020