Ci sono buoni soldi da guadagnare come hacker etico. Aziende come Facebook, Google e Microsoft gestiscono tutte programmi di bug bounty in cui offrono compensi decenti per trovare buchi nel loro software che necessitano di attenzione urgente. La ricompensa varia a seconda dell'azienda, del software e della gravità del bug, ma un cacciatore di bug lo ha scoperto Il software di tracciamento dei bug di Google è stato un vero tesoro di possibili ricompense, fruttando $ 15.633,70 da tre diversi bug.
Puoi leggi il resoconto completo di Alex Birsan qui per il nocciolo della questione su come è riuscito ad accedere a "Google Buganizer", ma ecco le nozioni di base. Il primo exploit scoperto da Birsan è stato che per accedere ai servizi di tracciamento dei bug interni di Google, avrebbe avuto bisogno di un indirizzo email di Google, che è bloccato per i non Googler. Ha scoperto che non facendo clic sul collegamento di conferma durante la registrazione di un normale account Google, era in grado di modificare l'indirizzo email in @google.com senza limitazioni. Questo non gli ha dato accesso al Buganizer ma gli ha dato altri privilegi insoliti, come poter fermare un taxi del campus di Google. Questo bug è stato risolto in 11 ore e ha fruttato a Birsan $ 3.133,70.
Successivamente, Birsan ha provato ad ascoltare le discussioni sui bug inserendone alcuni nel tracker. Ciò gli ha permesso di origliare un po’, ma solo su questioni di traduzione, dove le persone discutevano “del modo migliore per trasmettere il significato di un frase in diverse lingue." Di utilità limitata quindi per un hacker, ma comunque sufficiente a fruttargli 5.000 dollari extra, una volta che Google avesse chiuso il bug cinque ore dopo Dopo.
Vedi correlati
Alla fine, Birsan colpì il carico madre. Dopo aver armeggiato con l'API di Buganizer, ha scoperto un modo per ricevere tutti i dettagli interessanti di un bug richiedendo all'API di rimuovere un indirizzo email da un thread relativo al problema. Questo bug molto serio è stato risolto entro un'ora dalla segnalazione di Birsan e gli ha fruttato l'enorme somma di $ 7.500.
"Quando ho iniziato a cercare questa fuga di informazioni, ho pensato che sarebbe stato il Santo Graal dei bug di Google perché rivela informazioni su ogni altro bug", scrive Birsan. “Tuttavia, dopo averlo trovato, mi sono subito reso conto che l’impatto sarebbe stato ridotto al minimo perché tutte le vulnerabilità pericolose sarebbero state comunque neutralizzate entro un’ora. Pertanto, sono molto soddisfatto del denaro extra e non vedo l'ora di trovare bug in altri prodotti Google."
Tre vulnerabilità sono state corrette e un hacker etico è più ricco di $ 15.633,70. Tutti vincono.
Immagini: Justin Raycraft E Samuel Johnson utilizzato sotto Creative Commons
