Система отслеживания багов Google была взломана

Одному исследователю удалось найти в системе баг и получить доступ к её содержимому, сообщает "3Dnews".

Калифорнийский гигант устранил проблему. В противном случае злоумышленники могли бы использовать информацию из базы в собственных целях.

Исследователь из области безопасности Алекс Бирсан получил информацию из системы, использовав функцию, которая позволяет сторонним экспертам отписываться от почтовых рассылок о различных уязвимостях. После того как пользователь нажимает "Отписаться", платформа отправляет ему последнее письмо со всеми подробностями бага.

Система предполагает, что у пользователя есть разрешение на просмотр этой информации. Бирсан выяснил, что если отписаться от рассылки, на которую вы никогда не были подписаны, то можно узнать подробности разных багов и "всё остальное" из Issue Tracker.

"Использование бага даёт доступ ко всем отчётам об уязвимостях, которые получает Google, пока компания не выяснит, что вы за ней следите, — рассказал Бирсан. — На то, чтобы превратить эти отчёты в рабочие средства атаки, нужно время и навыки. Но чем серьёзнее баг, тем быстрее его чинит Google. Поэтому даже если вам повезёт и вы выловите баг, вам ещё нужно будет придумать, что с ним делать".

Google исправила уязвимость в платформе всего за час после того, как Бирсан о ней рассказал.

"Мы благодарны за то, что Алекс нам об этом сообщил, — заявил представитель компании. — Мы исправили уязвимость, о которой он рассказал, а также всё её разновидности".

Фото: "3Dnews"