Een beveiligingslek in de inlogpagina van het intranet van Google heeft de Oostenrijkse onderzoeker David Wind 5.000 dollar opgeleverd. Google heeft een beloningsprogramma waarbij het onderzoekers en hackers geld betaald voor het melden van kwetsbaarheden in software en webdiensten.
Begin dit jaar besloot Wind, op zoek naar een beloning, naar login.corp.google.com te kijken. Dit is de inlogpagina voor het intranet van Google. De inlogpagina laadt elke keer een andere afbeelding van static.corp.google.com. Wind besloot een url op dit domein aan te roepen die niet bestond, wat een foutmelding genereerde. De 404-pagina bood echter een debuggingfeature, die eigenlijk voor testdoeleinden is bedoeld.
Via deze feature kon hij allerlei gevoelige informatie achterhalen. zoals interne ip-adressen, servernamen en andere gegevens. De onderzoeker stelt dat hij niet "dieper" het systeem binnen kon en waarschuwde Google op 19 januari. In februari werd er een tijdelijke fix uitgerold, terwijl in maart een permanente oplossing volgde. De internetgigant beloonde Wind met 5.000 dollar, wat de hoogste beloning voor een informatielek is.
Deze posting is gelocked. Reageren is niet meer mogelijk.