Een scholier uit Uruguay heeft 10.000 dollar van Google gekregen voor een beveiligingslek waardoor hij toegang tot vertrouwelijke informatie op een server van Google had kunnen krijgen. Ezequiel Pereira wilde kijken of hij toegang tot interne applicaties van Google kon krijgen.

Normaliter moeten Google-werknemers hiervoor via een intranetpagina inloggen, waarna ze naar de applicatie worden doorgestuurd. Het gaat onder andere om het domein yaqs.googleplex.com dat niet zonder authenticatie toegankelijk is. Door de host-header die naar de server werd verstuurd aan te passen kreeg Pereira toch toegang tot de applicatie, die ook zijn gebruikersnaam niet bleek te controleren en geen andere beveiligingsmaatregelen had.

Op yaqs.googleplex.com werd de onderzoeker doorgestuurd naar een pagina met allerlei links over Google-diensten en de infrastructuur van de internetgigant. Onderaan de pagina stond echter "Google Confidential", waarop hij besloot niet verder te zoeken en Google meteen te informeren. Pereira waarschuwde Google op 11 juli en het probleem werd op dezelfde dag verholpen. Voor zijn melding ontving hij een beloning van 10.000 dollar van Google. "Ik kreeg dus 10.000 dollar voor alleen het aanpassen van de host-header", zo laat hij weten. Op Reddit meldt de onderzoeker dat Google het probleem waarschijnlijk heeft opgelost door het aantal ip-adressen te beperken dat toegang tot interne applicaties heeft.