l+f: Eine unverhoffte Bug-Belohung
Ein junger Student stochert in Google App Engine herum und stößt auf eine Sicherheitslücke, deren Schweregrad ihm gar nicht richtig bewusst war.
Anfang 2018 konnte ein 18-jähriger Student auf die Entwicklungsplattform Google App Engine zugreifen und interne APIs ansteuern. Wie das geklappt hat, beschreibt er ausführlich in einem Beitrag.
Er schaute sich in Google App Engine um, als er plötzlich eine Mail von Google kam. Dort stand drin, er solle doch damit aufhören, da er mit den internen APIs etwas kaputt machen könnte. Anschließend kam heraus, dass der Student auf eine Remote-Code-Execution-Lücke gestoßen ist. Diese Gattung gilt als die Königsklasse der Sicherheitslücken: Erfolgreich ausgenutzt, kann ein Angreifer darüber aus der Ferne Schadcode auf Systeme schieben und ausführen. Anschließend gilt ein Computer als übernommen.
Am Ende bekam er unverhofft eine Bug-Bounty-Prämie in Höhe von über 36.000 US-Dollar.
lost+found
Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security.
(des)
