Um estudante do ensino médio no Uruguai recebeu uma recompensa de US$ 10 mil da Google no último dia 4 de agosto. Ele se chama Ezequiel Pereira e encontrou uma falha no *.googleplex.com, um servidor de back-end. Basicamente, a falha permitia acessar um site chamado YAQS, que tinha a marcação “Google Confidential” no fundo.
Segundo Pereira, depois que notar a mensagem de confidencial, ele parou de fuçar no site e resolveu reportar o problema à Google. Isso aconteceu no dia 11 de julho e, poucas horas depois, a companhia respondeu e disse que pediria para seus especialistas de segurança avaliarem a gravidade.
Muita grana?
O jovem uruguaio inclusive estranhou o alto valor que recebeu de recompensa e quis saber do que se tratava aquele site. Ao que parece, aquele endereço em questão não tinha tanta importância assim, mas o mesmo procedimento poderia ser feito para acessar outros, o que geraria prejuízos de milhões à empresa.
Depois que a Google liberou o rapaz para falar sobre o seu feito, ele explicou em uma postagem em seu blog como procedeu. Só que, como a falha já foi consertada, não é mais possível chegar ao mesmo resultado. Você pode conferir o passo a passo a seguir, o qual Pereira fez através do Burp Suite.
O garoto ainda não está em idade profissional, mas afirma estar se esforçando para ter uma carreira em segurança digital. Se você quiser seguir os mesmos passos e ganhar uma grana ajudando a Google a se blindar, confira aqui qual é o procedimento adequado de reporte de bugs.
Fontes
Categorias