image

Nederlandse onderzoeker krijgt 100.000 dollar voor Google-lek

donderdag 12 maart 2020, 16:05 door Redactie, 2 reacties

De Nederlandse beveiligingsonderzoeker Wouter ter Maat heeft voor het rapporteren van vier kwetsbaarheden in Google Cloud Shell 100.000 dollar van Google gekregen. De Cloud Shell biedt commandlinetoegang tot cloud resources, direct vanuit de browser.

Het is een shellomgeving waarmee er toegang tot allerlei onderdelen van het Google Cloud Platform kan worden gekregen, zoals gcloud, Docker, Kubernetes, Python, vim en Emacs. De shellomgeving is met name voor beheerders en ontwikkelaars bedoeld om hun projecten en resources te beheren, zonder dat ze allerlei andere tools hoeven te installeren.

Ter Maat ontdekte dat het mogelijk was om roottoegang op de betreffende host te krijgen en aanwezige containers aan te passen. Via de kwetsbaarheden had een aanvaller de Cloud Shell van andere gebruikers kunnen compromitteren en toegang tot hun Google Cloud Platform resources kunnen krijgen. Ter Maat waarschuwde Google waarna de kwetsbaarheden werden verholpen. Details publiceerde de onderzoeker afgelopen december al.

Google heeft nu bekendgemaakt dat de Nederlandse onderzoeker de Google Cloud Platform (GCP) Vulnerability Reward Program (VRP) prijs heeft gewonnen. De prijs van 100.000 dollar is voor de onderzoeker die het grootste beveiligingslek in het platform weet te vinden. Afgelopen jaar was dat Ter Maat. Voor dit jaar heeft Google het prijzengeld voor de beste inzending naar 133.337 dollar verhoogd, alsmede geldbedragen voor nummers twee tot en met zes beschikbaar gemaakt.

Image

Reacties (2)
13-03-2020, 07:27 door Anoniem
Ben je lekker Google Project 0 compliant. Google, het zou verboden moeten worden.
J.O.
13-03-2020, 10:52 door Anoniem
verbaas me nog steeds dat bepaalde fouten niet regressie getest worden of op tree of in dit geval op andere producten van andere fabrikanten..

bijvoorbeeld bij cisco zitten dezelfde bugs in catos, daarna in IOS, daarna in IOS-XE, IOS-XR en daarna in Nexus-OS.
Terwijl deze operating systems een compleet andere codebase zouden moeten hebben...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.