Categorii: Tot - autenticidad - vulnerabilidades - seguridad - información

realizată de azalea ganzo 7 ani în urmă

216

Sample Mind Map

Un joven uruguayo de 17 años, Ezequiel Pereira, ha logrado destacarse en el ámbito de la ciberseguridad al encontrar vulnerabilidades en los sistemas de Google. Anteriormente, ganó la competencia Google Code-in en 2016, lo cual le permitió visitar las instalaciones de Google en San Francisco, California.

Sample Mind Map

LOS SISTEMAS DE GOOGLE NO SON UNA NOVEDAD PARA EL JOVEN PERIRA, QUIEN ANTERIORMENTE HA SIDO RECOMPENSADO POR ENCONTRAR VULNERABILIDADES EN LOS SISTEMAS DE LA EMPRESA

En 2016 gano la competencia de Google Code-in para jóvenes es programadores, oportunidad en que fue premiado con un viaje a San Francisco California donde visito las instalaciones de GOOGLEPLEX.

Joven uruguayo consigue acceso a información confidencial en portal interno de Google

Ezequiel Pereira de 17 años dedico parte de sus vacaciones de verano para encontrar la forma de acceder a la infraestructura de Google. (DIARIO TI 11/08/2016 9:19:11)

El joven logro acceder a una pagina rotulada ''Google Confidential''
Para poder acceder utilizo Burp; para manipular la cabecera de las conexiones a Google App Engine.

Inicio una búsqueda sistemática de paginas protegidas por MOMA, un portal exclusivo para empleados de Google

Para este portal es necesario iniciar sesión mediante credenciales, pero Pereira logró eludir esta barrera.

Lo que indica que no todos lo componentes del portal verificaban la autenticidad de la conexión

Al vincular un servicio publico de Google, como por ejemplo www.appspot.com y luego cambiar la cabecera de HTTP, Por ejemplo: yaqs.gooogleplex.com

El joven comento que fue necesario hacer varios intentos, y que el servidos ya respondía ya sea con la notificación ''404 no encontrado''

O pedia validar la sesion con una cuenta de empleados de Google (xxx@google.com)

Al intentar con URL ''Yaqs,googleplex.com'', constato que ya no le pedía iniciar sesión y que el sistema le enviaba al subdirecto ''/eng'' que incluía una lista de enlaces a secciones de la infraestructura de Google

En este punto el joven suspendia la conexion y notifico sobre su hallazgo al equipo de seguridad de Google, sugiriéndoles estudiar el tema principal

El resultado fue una recompensa de US$10.000

Pererira logro entrar al sistema de gestion de proyectos YAQS

En este punto el sistema debió haber requerido las credenciales MOMA, pero Pereira logro salvar la barrera y llegar a contenidos rotulados como ''Google confidencial''