ウルグアイの10代の若者が、GoogleのApp Engineで機密性の高い社内文書を閲覧できるバグを発見し、報告して大成功を収めた。
7月、有能なセキュリティ研究者の素質を全て備えた高校生、エゼキエル・ペレイラは、退屈していた時にBurpを使ってGoogle App Engineへのウェブ接続におけるHostヘッダーを操作した。17歳の彼の標的は、近代美術館にちなんで名付けられたGoogle社員専用ポータルサイト「MOMA」で保護されたウェブページだった。
通常、スタッフ専用のGoogleサービスに接続するには、MOMA経由でサインインする必要があります。しかし、これらのサービスはすべて、訪問者がコンテンツを閲覧する権限を持っているかどうかを十分に確認していないようです。
ペレイラ氏は、www.appspot.com などの Google パブリックサービスに接続し、HTTP リクエストの Host ヘッダーを例えば yaqs.googleplex.com に変更することで、Google 社内のプロジェクト管理システムである YAQS にリダイレクトされました。このシステムを閲覧するには MOMA へのサインインが必要でしたが、実際には「Google 機密」とマークされた YAQS ページを閲覧することができました。
学生は7月11日にGoogleにこの抜け穴を報告し、18歳の誕生日の約1か月前の8月4日に、問題が修正され、Googleのバグ報奨金プログラムから1万ドルの報奨金を獲得したと知らされた。ペレイラ氏はこれまでもGoogleに脆弱性を報告して数千ドルの報奨金を得ていたが、今回の報奨金には衝撃を受けた。
「単純なバグだったと思うし、こんなに高額な賞金がもらえるとは思ってもみませんでした」と彼は木曜日にThe Register紙に語った。「賞金の投資方法を学んだり、どこか素敵な場所に旅行して観光したりするかもしれません」
数年前、ペレイラはGoogleが毎年開催する大学進学前の学生を対象としたプログラミングコンテスト「Code-in」で優勝し、サンフランシスコとカリフォルニアのGoogleplexへの旅行を獲得しました。彼はGoogleplexから離れられず、今年初めにはApp Engineを使って社内サービスをいじっていました。
「私の試みのほとんどは、サーバーが404 Not Foundを返したか、通常のGoogleアカウントではなくGooglerアカウント([email protected])を使用していることを確認するなどのセキュリティ対策が講じられていたために失敗しました」と彼は今週説明した。
しかし、私が試したウェブサイトの一つ、「yaqs.googleplex.com」は、ユーザー名の確認も、その他のセキュリティ対策も一切行っていませんでした。ウェブサイトのホームページは「/eng」にリダイレクトされ、そのページは非常に興味深いもので、Googleのサービスやインフラに関する様々なセクションへのリンクがたくさんありました。しかし、どのセクションにもアクセスする前に、フッターに「Google Confidential(Google 社外秘)」という文字が書かれていました。
それを見たペレイラさんは、すぐにキャンセルしたと言います。深刻な問題だとは思っていませんでしたが、念のためチョコレートファクトリーにバグレポートを送信しました。その日のうちにGoogleから感謝の返信が届きました。彼はそれ以上何も考えませんでしたが、それから1ヶ月弱後に次のメッセージが届きました。
Googleの研究者たちは、この脆弱性を利用して非常に機密性の高いデータにアクセスできることを発見したようです。おそらく、その深刻さゆえに、Googleは10万ドルの報奨金が妥当だと考えたのでしょう。
ウルグアイの小学生にとって、これはかなりの額です。平均月給の5倍に相当します。近いうちにペレイラ氏からまた連絡が来るかもしれません。®
