Los piratas informáticos indios ganan una recompensa de error de Google de $ 22,000 por descubrir vulnerabilidades importantes

Dos piratas informáticos indios ganaron una recompensa en efectivo total de más de $ 22,000 en recompensas por errores de Google. Las recompensas por errores son recompensas, generalmente premios en efectivo, que otorgan las principales empresas de tecnología a las personas que identifican un error o una vulnerabilidad en su programa o sistema informático. Estas recompensas de errores en particular fueron otorgadas por Google al dúo de piratas informáticos indios por encontrar fallas de seguridad importantes en sus proyectos del Programa Google Cloud (GCP). Entre ellos, la mayor recompensa fue un error de falsificación de solicitud del lado del servidor (SSRF) y la omisión de parche posterior que les valió $ 5,000.

los dos indios quién los ganadores son Sreeram KL y Sivanesh Ashok, quienes forman parte del programa Google Vulnerability Rewards (VRP). Sivanesh también publicó un Blog detallando los errores y cómo los encontraron. Publicar sobre ello en Gorjeodijo: «Un artículo sobre cómo

@kl_sree y encontré un error en Google Nube lo que nos permitió tomar el control de la máquina virtual del motor de cómputo de una víctima.

Dúo de hackers indios descubre vulnerabilidades en Google

El error SSRF es una vulnerabilidad particularmente peligrosa. Al abusar de esta vulnerabilidad, los piratas informáticos podrían engañar a las víctimas para que abran enlaces maliciosos y tomen el control de sus proyectos de GCP de forma remota.

Sivanesh señaló en su blog: «Dado que no había un token aleatorio o protección CSRF, cualquiera podía crear un enlace y enviarlo a un usuario de Compute Engine para crear un nuevo usuario en su instancia… haciendo que una víctima abra un archivo malicioso». El enlace agregaría el nombre de usuario y la clave SSH del atacante a su computadora”.

Sin embargo, la gente no necesita preocuparse por eso porque después de que se ha informado el riesgo de seguridad, Google lanzó una revisión que soluciona el problema. Al mismo tiempo, los dos indios también descubrieron muchas otras vulnerabilidades.

Habla con Daily Swig, Sreeram me ha dicho«Encontrar este problema nos dio una mejor comprensión de cómo funcionan los productos de GCP administrados, lo que nos ayudó a encontrar otros errores en GCP».

¿Qué es Google VRP?

El Programa de recompensas por vulnerabilidades de Google (VRP) es un proceso formal para recompensar las contribuciones de investigadores de seguridad externos para descubrir riesgos de seguridad y proporcionarles soluciones. Mientras un investigador de seguridad siga las pautas de Google, cualquiera puede participar e informar una vulnerabilidad y obtener una recompensa de Google.