ESETは8月16日(米国時間)、「Google pays $10,000 for student’s bug」において、Googleが機密データにアクセスできる可能性を持ったGoogle App Engineサーバの脆弱性を発見したウルグアイの学生に1万米ドルの報奨金を支払ったと伝えた。
脆弱性を発見したウルグアイの学生は自身のブログで、Google App Engineサーバの脆弱性を発見し、Googleに報告した経緯を説明している。
この学生は当初、脆弱性を発見するいくつかの取り組みを行って失敗したあと、まったくセキュリティチェックを行わない内部Webページにアクセスすることができたという。
そして、/engにリダイレクトされたあと、Googleが外部のユーザーがアクセスすることを想定したサーバではないことに気がついたという。学生はGoogle Confidentialフッターからいくつかの情報を読んだあとで調査を行い、この問題をGoogleに報告したと説明している。
学生は当初、この問題はそれほど重要なものではないと考えていたが、報告を受けたGoogleの調査チームはこの脆弱性が攻撃者によって悪用された場合に機密データにアクセスできる可能性があるものと認定し、1万米ドルの報奨金に相当すると判断したという。
|
脆弱性を発見した学生がGoogleから受け取ったメール $10k host headerより引用 |
自社の製品やサービスの脆弱性が発見された際に報奨金を支払う制度(バグ・バウンティ・プログラム)は、Googleをはじめさまざまな業界が実施しており、脆弱性の発見に効力を発揮していると考えられている。
