Исследователь обнаружил дыры в безопасности в базе данных Google для отслеживания ошибок, которые могли потенциально привести к тому, что злоумышленники получили доступ к конфиденциальной информации, включая сведения о способах использования незащищенных уязвимостей в продуктах Google.
Исследователь Алекс Бирсан имеет описано как ему удалось обмануть систему отслеживания проблем Google (известную внутренне для сотрудников Google как Buganizer), предоставив ему доступ к гораздо большему количеству информации, чем обычно было бы разрешено внешним сторонам.
И суть атаки? Бирсан нашел способ обмануть Google, чтобы он зарегистрировал для него учетную запись @ google.com, что обычно используется сотрудниками компании.
Обычно Gmail запрещает кому-либо создавать аккаунт с адресом @ google.com, но Бирсан нашел обходной путь:
Если я зарегистрировался с любым другим поддельным адресом электронной почты, но не смог подтвердить учетную запись, щелкнув ссылку, полученную по электронной почте, мне было разрешено изменить свой адрес электронной почты без каких-либо ограничений. Используя этот метод, я изменил адрес электронной почты новой учетной записи Google на [email protected].
Хотя обманчивого адреса электронной почты было недостаточно, чтобы пропустить Birsan через корпоративную страницу входа Google, он предоставил ему ряд других преимуществ, включая то, что, по-видимому, было Корпоративная служба такси Google , а также более глубокий доступ к системе отслеживания ошибок компании.
Кроме того, исследователь нашел способ убрать ограниченную функциональность, обычно имеющуюся у сторонних разработчиков, получающих доступ к системе отслеживания проблем Google.
Ошибки в системе могли помочь неавторизованным сторонам получить доступ к деталям каждого отчета об уязвимости, отправленного в Google, открыв дверь для использования до того, как будет выпущено исправление.
Как объясняет Бирсан, последствия взлома данных могли быть серьезными:
«В Маунтин-Вью открывается около 2000–3000 номеров в час, и только 0,1% из них являются публичными. Похоже, утечка данных в этой системе будет иметь большое влияние ».
К счастью, Бирсан - один из хороших ребят - и ответственно сообщил Google об уязвимостях, чтобы их можно было быстро исправить. За его усилия он был награжден в общей сложности $ 15 600 в щедроты ,
Но вы не можете не думать, что спецслужбы и организованные преступники, вероятно, были бы готовы заплатить гораздо больше за подробности ошибок в системе Google, подобных этой, особенно если учесть ценность незащищенных уязвимостей и кода эксплойтов, которые могли бы пролиться. в результате.
Примечание редактора . Мнения, высказанные в этой статье гостя-автора, принадлежат исключительно авторам и не обязательно отражают точку зрения Tripwire, Inc.
Похожие
Тайна убийства Google Планета Земля разоблаченаКак добавить Google Analytics в ваш блог WordPress
... отслеживания Google Analytics на свой веб-сайт, вы можете анализировать свои данные, чтобы увидеть, что работает, а что нет. Вот несколько примеров типов данных, которые вы можете увидеть: Данные в реальном времени (кто сейчас посещает ваш сайт в режиме реального времени) Почасовая и ежедневная активность Демография (по городам, штатам, странам, континентам) Новое против возвращения Мобильный пользователь против пользователей рабочего AdWords - создание учетной записи Google AdWords ⋆ Project-Net Internet Technologies
... google-adwords-project-net-internet-technologies-1.png"> Любой, кто решит использовать интернет-рекламу в поиске Google, получит эффективный инструмент для привлечения многих потенциальных клиентов. Однако, прежде чем попасть туда, вам придется сделать несколько шагов. Первым из них, конечно же, является создание учетной записи AdWords, для которой практически ничего не требуется: введите свой адрес электронной почты (рисунок 1) введите адрес своего сайта Совместное использование Google Voice и Gizmo Project
Смотрите обновление ниже (пропустить, чтобы обновить) Гугл голос Google-воплощение GrandCentral - фантастический сервис, который призван стать коммутатором вашего виртуального телефона. Он дает вам бесплатный номер телефона, который может принимать обычные телефонные звонки и перенаправлять их на любые другие реальные телефоны, которые вы подключили к своей учетной записи. Мощные вещи. К сожалению, его Принудительный вход пользователя в свою учетную запись Google Organization (G Suite)
Опубликовано: 12 сентября 2017 г. У Microsoft есть хороший документ, объясняющий, как разрешить пользователям войдите в приложение с помощью своих аккаунтов Google , Мне было любопытно посмотреть, как можно заставить пользователей войти в систему с помощью учетной записи организации. Зачем тебе это делать? Ну, скажем, ваша компания CAD Electrical PCSCHEMATIC - рисование диаграмм на компьютере
... свои собственные символы и автоматически документировать библиотеки символов. Базы данных аппарата Automation предлагает обширную базу данных оборудования для многих производителей, как международных, так и польских производителей. Кроме того, у вас есть возможность создать собственную базу оборудования простым способом. В дополнение к основной информации о камерах - такой как номер по каталогу, описание, производитель или цена - базы также содержат И суть атаки?
Зачем тебе это делать?
