Über sein Bug-Bounty-Programm schafft Google einen finanziellen Anreiz, Sicherheitslücken vertraulich an das Unternehmen zu melden anstatt sie auf anderem Weg publik zu machen, oder noch schlimmer: Gewinnbringend zu verkaufen. Meist sind es professionelle Sicherheitsforscher, die hier zuschlagen, ein aktuelles Beispiel zeigt nun aber, dass sich durchaus auch andere hier ein Zubrot verdienen können.

Spurensuche

Google zahlt einem Schüler aus Uruguay eine Belohnung von 10.000 US-Dollar für das Melden einer schweren Sicherheitslücke in den eigenen Services. Ezequiel Pereira hatte "aus Langeweile", wie er es selbst umschreibt, mithilfe des Tools Burp Suite versucht auf interne App-Engine-Seiten (googleplex.com) von Google zu kommen, indem er Header, die eigentlich auf die öffentlichen App-Engine-Seiten (appspot.com) referenzierten, veränderte.

Nach einigen fehlgeschlagenen Versuchen wurde er schließlich fündig: Unter der Adresse yaqs.googleplex.com konnte er sich mit seinem normalen Google-Account intern bei dem Softwarehersteller anmelden. Der Hinweis "Google Confidential" bestätigte ihm, dass er tatsächlich Zugriff auf interne Dokumente des Unternehmens hatte.

Meldung

Pereira meldete diese Entdeckung umgehend, und hakte die Angelegenheit damit ab, wie er selbst betont. Immerhin hatte er ja nur einen simplen Header verändert, und keinerlei größere Forschung betrieben. Umso überraschender kam dann die Nachricht, dass er mit 10.000 Dollar für seine Entdeckung belohnt werden soll, so Pereira, der nach eigenen Angaben künftig ein "echter" Sicherheitsforscher werden will. (apo, 11.8.2017)