Исследователь обнаружил баг в Google Issue Tracker

Google имеет внутреннюю платформу, которая отслеживает список ошибок и неисправленных уязвимостей, но оказалось, что сама платформа содержала ошибку, которая позволила одному исследователю безопасности получить доступ к полному списку известных, неисправленных уязвимостей в Google, что могло бы привести к громким и масштабным взломам.

Алекс Бирсано, исследователь безопасности, обнаружил три уязвимости внутри Google Issue Tracker, внутренней платформы компании, где сотрудники отслеживают запрашиваемые функции или неисправленные ошибки в продуктах Google. Самая серьёзная была одна, которая позволила ему получить доступ к внутренней платформе. Компания быстро исправила ошибки, найденные Бирсаном, и нет никаких доказательств того, кто – то ещё нашёл ошибку и использовал её.

Доступ к внутренним ресурсам Issue Google Tracker называется Buganizer System и обычно ограничивается сотрудниками. Внешним исследователям может быть предоставлен доступ только к определенному ресурсу, например, к ошибкам о которых они сообщают. Бирсано, однако, нашел способ обойти строгие разрешения и подписаться на любой поток на платформе, что позволило ему «видеть подробности о каждом отчёте в базе данных», как он объяснил в своем блоге.

Бирсан обнаружил, что Google запрограммировал возможность для внешних исследователей удалить себя из списков электронной почты. Это работало так, человека удаляли из списка и отправляя детали ошибки в качестве сообщения. Но у этого механизма была проблема: он фактически не проверял, имеет ли пользователь, запрашивающий удаление, разрешение на доступ к рассматриваемой проблеме. Так что это было возможно и для тех, кто никогда не был подписан, и таким образом можно было узнать подробности уязвимости.

Тем не менее, Google, известна своей хорошей корпоративной безопасностью: Бирсан сказал, что с уязвимостями, которые он обнаружил, было бы очень трудно или даже невозможно запустить широкую атаку, которая затронула бы даже часть пользователей Google.

Нет свидетельств того, что кто-то кроме Бирсана нашел эту ошибку, и Google исправил это в течение часа после его доклада. Но такая платформа является отличной мишенью для хакеров и правительственных шпионов. 17 октября, Reuters показал , что хакеры нарушили внутреннюю базу данных Microsoft для отслеживания ошибок в своём программном обеспечении в 2013 году.

Birsan нашел в общей сложности три ошибки на платформе. Теперь все они исправлены, и он получил вознаграждение в размере 3 133,7, 5 000 долларов и 7 500 долларов США за сообщение о них в Google.