Компания Google выплатила 18-летнему исследователю безопасности Изекилю Перейре (Ezequiel Pereira) более $36 тыс. за обнаружение нескольких уязвимостей в сервисе Google App Engine, в том числе одной критической.
Google App Engine представляет собой платформу на базе Google Cloud, которая позволяет пользователям разрабатывать и размещать web-приложения на управляемых серверах.
В феврале текущего года Перейра смог получить доступ к среде разработки Google App Engine и обнаружил возможность использования некоторых внутренних API Google.
В своем первом отчете для программы вознаграждения за поиск уязвимостей Google исследователь не указал ничего опасного, однако его результатам был присвоен рейтинг P1, который указывает на то, что проблема должна быть устранена как можно быстрее, поскольку может затрагивать большое количество пользователей.
Продолжив исследование, эксперт обнаружил некоторые интересные методы эксплуатации и отправил Google второй отчет, после которого компания посоветовала Перейре прекратить дальнейшее тестирование, так как он может «легко сломать что-то, используя эти внутренние API».
Проанализировав обнаруженные уязвимости, эксперты Google пришли к выводу, что они могли быть проэксплуатированы для удаленного выполнения кода «из-за особенностей работы Google».
В общей сложности Google выплатила исследователю $36 337, в том числе $5 тыс. за обнаружение менее серьезной проблемы. По словам Перейры, первый отчет был отправлен в компанию 25 февраля 2018 года, а исправления были выпущены в период между 6 и 13 марта.

Источник: securitylab.ru