Um pesquisador de segurança digital chamado Alex Birsan conseguiu ganhar uma recompensa de US$ 15.600 (R$ 51 mil) daGoogle por reportar três bugs que ele encontrou ao vasculhar o sistema interno que a empresa usa para gerenciar bugs a serem consertados por seus engenheiros.
Grandes empresas de tecnologia normalmente desenvolvem seus próprios gerenciadores de problemas. No caso da Google, o software se chama Issue Tracker (Rastreador de Problemas, em português) e concentra informações muito sensíveis de bugs e falhas de segurança em praticamente todos os serviços e produtos de software da empresa. Em teoria, um criminoso que consegue acesso ao Issue Tracker poderia comprometer coisas como o Gmail, o Google Maps ou até mesmo o Android, roubando informações de usuários ou da própria Google para vender no mercado negro.
Tecnologia, negócios e comportamento sob um olhar crítico.
Assine já o The BRIEF, a newsletter diária que te deixa por dentro de tudo
Percebendo a gravidade da coisa, Birsan reportou as três falhas descrevendo exatamente como conseguiu acesso ao Issue Tracker. Para começar, ele enganou o Gmail e conseguiu uma conta corporativa da Google com a terminação “@google.com”. Ao tentar logar com essa conta no gerenciador de bugs, não conseguiu acesso.
“Contudo, essa conta me deu um monte de benefícios extras em outras partes da internet”, comentou o Birsan em uma postagem no Medium. Um dos benefícios mais interessantes, segundo o pesquisador, foi ter acesso ao serviço de carros corporativos da Google. Por conta disso, ele ganhou uma recompensa de US$ 3.100 no programa de caça-recompensas da empresa.
Comprometido em acessar o Issue Tracker, Birsan tentou mais uma vez, só que de uma forma mais simples
Comprometido em acessar o Issue Tracker, Birsan tentou mais uma vez, só que de uma forma mais simples. Ele usou um software para favoritar milhares de bugs registrados no Issue Tracker com uma conta de email falsa.
A ideia era que, sempre que algum engenheiro da Google atualizasse o status ou fizesse um comentário no registro do bug, ele recebesse uma notificação com detalhes sobre os bugs no seu email. Isso chegou a funcionar, mas o detalhamento não era tão grande quando ele esperava. “Eu só consegui bisbilhotar em conversas relacionadas a traduções”, disse o pesquisador. Ainda assim, ele ganhou mais US$ 5.000 da Google por reportar essa falha em específico.
Por fim, em sua terceira tentativa, Birsan resolveu brincar com a API do Issue Tracker e ver que tipo de acesso ele conseguiria usando o recurso que essencialmente dá acesso à base de dados do gerenciador para outros apps. Contudo, o pesquisador percebeu que havia pouquíssimas possiblidades para conseguir algum acesso através da API até que ele usou essa porta para enviar pedidos remoção de emails registrados nos tópicos de discussão sobre problemas aleatórios.
Sempre que o pedido de remoção era atendido, o pesquisador recebia uma confirmação por email
Esse pedido de remoção era imediatamente atendido pelo sistema sem que nenhum erro fosse mostrado, dando a entender que o usuário falso criado pelo pesquisador tinha algumas permissões na plataforma. Por fim, sempre que o pedido de remoção era atendido, o pesquisador recebia uma confirmação por email que trazia junto toda a discussão e detalhamento do bug em discussão no tópico.
Em outras palavras, o pesquisador conseguiu o que queria sem acessar de fato a interface do Issue Tracker. Por encontrar esse problema, a Google lhe deu uma recompensa de US$ 7.500. Somando os três prêmios, Birsan recebeu US$ 15,5 mil.
Se você tem interesse em buscar falhas nos serviços da Google, confira aqui as regras do programa de recompensas da empresa.