Joven uruguayo consigue acceso a informaci贸n confidencial en portal interno de Google

El joven Ezequiel Pereira, de 17 a帽os de edad, ha sido recompensado con 10.000 $ luego de entrar al portal interno de Google sin iniciar sesi贸n, y encontrar informaci贸n confidencial.

La informaci贸n ha sido publicada por el sitio The Register que escribe que Pereira ha dedicado parte de sus vacaciones de verano para encontrar la forma de acceder a la infraestructura de Google, y espec铆ficamente a Google App Engine. Luego de algunos intentos, el joven logr贸 acceder a una p谩gina rotulada “Google Confidential”, escribe la publicaci贸n.

Pereira comunic贸 inmediatamente su hallazgo al equipo de seguridad de Google, sugiri茅ndoles estudiar el tema. El joven no esper贸 tener m谩s noticias de Google hasta que recibi贸 un correo electr贸nico de la empresa, anunci谩ndole que recibir铆a US$10.000 por haber encontrado el agujero de seguridad.

Llama principalmente la atenci贸n que Pereira logr贸 entrar al portal interno de Google sin iniciar sesi贸n utilizando nombre de usuario y contrase帽a. Para ello, utiliz贸 Burp para manipular la cabecera de las conexiones a Google App Engine. Luego, inici贸 una b煤squeda sistem谩tica de p谩ginas protegidas por MOMA, un portal exclusivo para empleados de Google. Para este portal es necesario, en principio, iniciar sesi贸n mediante credenciales. Sin embargo, Pereira logr贸 eludir esta barrera, lo que indica que no todos los componentes del portal verificaban la autenticidad de la conexi贸n; en este caso, que un usuario externo, o visitante, pudiese acceder a los contenidos.

Al vincular un servicio p煤blico de Google, como por ejemplo www.appspot.com y luego cambiar la cabecera de HTTP, por ejemplo, yaqs.googleplex.com, Pereira logr贸 entrar al sistema de gesti贸n de proyectos YAQS. En este punto, el sistema debi贸 haber requerido las credenciales MOMA, pero Pereira logr贸 salvar la barrera y llegar a contenidos rotulados como “Google Confidential”.

El joven coment贸 a The Register que fue necesario hacer varios intentos, y que el servidor ya respond铆a ya sea con la notificaci贸n “404 no encontrado” o le ped铆a validar la sesi贸n con una cuenta de empleados de Google ([email protected]). Al intentar con la URL “yaqs.googleplex.com”, constat贸 que ya no se le ped铆a iniciar sesi贸n, y que el sistema le enviaba al subdirectorio “/eng”, que inclu铆a una lista de enlaces a secciones de la infraestructura de Google.

En este punto, Pereira suspendi贸 la conexi贸n y notific贸 al equipo de seguridad de Google. El resultado fue una recompensa de US$10.000.

Los sistemas de Google no son una novedad para el joven Pereira, quien anteriormente ha sido recompensado por encontrar vulnerabilidades en los sistemas de la empresa. En 2016 gan贸 la competencia de Google Code-in para j贸venes programadores, oportunidad en que fue premiado con un viaje a San Francisco, California, donde visit贸 las instalaciones de Googleplex.

Ilustraci贸n. Imagen de fondo (c) Sergei Nivens v铆a Shutterstock. Captura email de Google: The Register



Contacto | Diario TI es una publicaci贸n de MPA Publishing International Ltd.