En high-school-student från Uruguay har blivit belönad med $10.000 (ca Rs. 6.5 lakh) efter att han upptäckte och rapporterade en sårbarhet till Google.
Studenten, Ezequiel Pereira, säger han råkade på den sårbarhet efter en släng av tristess förra månaden när han peta runt Google-tjänster med Rapar Suite, ett populärt Web security testing tool.
Efter ett par misslyckade försök, Pereira säger att han kom över yaqs.googleplex.com en intern webbsida som inte har användarnamn och lösenord in på plats. Googleplex.com värd för flera Google App Engine-appar.
“Hemsida: s hemsida dirigeras om för mig att “/swe”, och att sidan var ganska intressant, det hade många länkar till olika avsnitt om Google-tjänster och infrastruktur, men innan jag besökte alla avsnitt, jag läste något i sidfoten: “Google Konfidentiellt”.
“Vid den punkten jag slutade peta på hemsidan och rapporterade problemet direkt, utan att ens tänka mig ett bättre sätt att visa sårbarhet än med Rapa,” Pereira skrev.
Dela skärmdumpar av e-post utbyte, Pereira sade att han fått flera svar från Googles säkerhetsgrupp samma dag, som bekräftade att de fel han hade rapporterat var verkligen effektivt.
Bug Bounty Hunters Säger att De inte Är Välkomna i Indien
Med litet eller inget hopp om belöningar, Pereira säger att han blev förvånad när en månad senare Google-teamet informerade honom om att han skulle få betalt $10.000 för sitt arbete, och att han kunde dela med sig av den typ av sårbarhet med världen.
Google har sedan dess fixat problemet. “Felet har rättats till nu, och enligt Google, den stora belöningen var för att de hittat ett par varianter som skulle ha gjort det möjligt för en angripare tillgång till känslig data,” Pereira skrev.
Den öppenhet och villiga att belöna oberoende säkerhet forskare är en av de saker flera Silicon Valley företag har arbetat på. Google, Microsoft och Apple erbjuder allt bug bounty belöning program där de uppmuntrar människor att rapportera någon säkerhet eller integritet brister de plats i någon av deras tjänster.