Исследователь систем безопасности и багхантер Сэм Карри рассказал, что получил от Google непонятную выплату в размере $250 тыс. Он пытался, но безуспешно, в течение трёх недель выяснить через техподдержку компании, почему это произошло и как вернуть эти деньги тому багхантеру, которому они действительно предназначались.
Карри занимается поиском различных уязвимостей в веб-приложениях и работает инженером по безопасности в компании Yuga Labs. Его работодатель и сам хакер зарегистрированы на площадке Google по выплатам вознаграждений за найденные уязвимости в сервисах компании. Но Карри не находил и не отсылал в Google информацию по такой критической уязвимости, за которую компания выплачивает такие большие суммы. Ему ещё повезло, что Google не перечислила ему $1 млн, что сейчас является максимальной выплатой за рабочую цепочку эксплойтов для удалённого выполнения кода в обход чипа безопасности Titan M.
В итоге Карри решил ничего не делать с деньгами на счёте и подождать ответа Google, так как решил для себя, что компания, скорее всего, заплатила ему случайно.
Представитель Google всё же вышел на связь с Карри, но только после огласки этой ситуации со стороны общества хакеров в СМИ.
В компании признались, что совершили дорогостоящую ошибку. «Наша команда по выплате багбаунти недавно произвела платёж не той стороне в результате человеческой ошибки. Мы ценим, что пострадавший партнёр быстро сообщил нам об этом, и мы работаем над исправлением этой ситуации», — рассказал СМИ представитель Google. В компании не уточнили детали инцидента, хотя в её информационной системе должны быть минимизированы подобные человеческие ошибки.
Карри поблагодарил Google за ответ и пояснил, что ему любопытно, как часто что-то подобное происходит в Google и какие системы есть в компании для проверки подобных ошибок. Также он рассказал СМИ, что пока деньги компании до сих остаются у него на счёту и с ними ничего не происходит.
В июле 2021 года Google сообщила, что выплатила вознаграждения более чем 2 тыс. исследователям безопасности из 84 разных стран за сообщения о более чем 11 тыс. уязвимостей с момента запуска своей программы по вознаграждению за уязвимости, которую компания запустила более десяти лет назад. С января 2010 года Google выплатила экспертам и энтузиастам более $29 млн в качестве вознаграждения за уязвимости.
Источник новости: www.playground.ru