DiarioTi.com - el diario del profesional TI

Martes 12 Dic 2017 | Año 14 | Edición 31
Menu
letter
    

    Joven uruguayo consigue acceso a información confidencial en portal interno de Google

    El joven Ezequiel Pereira, de 17 años de edad, ha sido recompensado con 10.000 $ luego de entrar al portal interno de Google sin iniciar sesión, y encontrar información confidencial.

    Diario TI 11/08/17 9:19:11

    La información ha sido publicada por el sitio The Register que escribe que Pereira ha dedicado parte de sus vacaciones de verano para encontrar la forma de acceder a la infraestructura de Google, y específicamente a Google App Engine. Luego de algunos intentos, el joven logró acceder a una página rotulada “Google Confidential”, escribe la publicación.

    Pereira comunicó inmediatamente su hallazgo al equipo de seguridad de Google, sugiriéndoles estudiar el tema. El joven no esperó tener más noticias de Google hasta que recibió un correo electrónico de la empresa, anunciándole que recibiría US$10.000 por haber encontrado el agujero de seguridad.

    Llama principalmente la atención que Pereira logró entrar al portal interno de Google sin iniciar sesión utilizando nombre de usuario y contraseña. Para ello, utilizó Burp para manipular la cabecera de las conexiones a Google App Engine. Luego, inició una búsqueda sistemática de páginas protegidas por MOMA, un portal exclusivo para empleados de Google. Para este portal es necesario, en principio, iniciar sesión mediante credenciales. Sin embargo, Pereira logró eludir esta barrera, lo que indica que no todos los componentes del portal verificaban la autenticidad de la conexión; en este caso, que un usuario externo, o visitante, pudiese acceder a los contenidos.

    Al vincular un servicio público de Google, como por ejemplo www.appspot.com y luego cambiar la cabecera de HTTP, por ejemplo, yaqs.googleplex.com, Pereira logró entrar al sistema de gestión de proyectos YAQS. En este punto, el sistema debió haber requerido las credenciales MOMA, pero Pereira logró salvar la barrera y llegar a contenidos rotulados como “Google Confidential”.

    El joven comentó a The Register que fue necesario hacer varios intentos, y que el servidor ya respondía ya sea con la notificación “404 no encontrado” o le pedía validar la sesión con una cuenta de empleados de Google (xxx@google.com). Al intentar con la URL “yaqs.googleplex.com”, constató que ya no se le pedía iniciar sesión, y que el sistema le enviaba al subdirectorio “/eng”, que incluía una lista de enlaces a secciones de la infraestructura de Google.

    En este punto, Pereira suspendió la conexión y notificó al equipo de seguridad de Google. El resultado fue una recompensa de US$10.000.

    Los sistemas de Google no son una novedad para el joven Pereira, quien anteriormente ha sido recompensado por encontrar vulnerabilidades en los sistemas de la empresa. En 2016 ganó la competencia de Google Code-in para jóvenes programadores, oportunidad en que fue premiado con un viaje a San Francisco, California, donde visitó las instalaciones de Googleplex.

    Ilustración. Imagen de fondo (c) Sergei Nivens vía Shutterstock. Captura email de Google: The Register
        • Seleccione su país -+

          Diario TI utiliza una plataforma GeoIP que automáticamente intenta detectar el país desde donde usted se conecta, para así presentarle contenidos regionales. Sin embargo, si la detección automática no es posible, usted puede seleccionar manualmente su país.