Los cazadores de bugs son personas expertas en ciberseguridad, que participan en campañas de empresas de tecnología para encontrar alguna falla de seguridad en su software. Usualmente, dependiendo de la magnitud del hallazgo, la compañía puede pagarte una buena suma por ahorrarles un potencial problema de seguridad.
Precisamente eso es lo que logró Ezequiel Pereira, un estudiante universitario uruguayo, quien encontró una falla de seguridad en los servicios online de Google, que no requería prácticamente un gran nivel de expertise en ciberseguridad para ser explotado, pero que evidentemente abría la puerta a un gran cumulo de información confidencial que no quiso ponerse de curioso a averiguar.
Como lo explica en un post de su blog personal, Ezequiel se puso a experimentar con algunas direcciones de los servicios de Google, cambiando el encabezado del host, usando Burp Suite, un programa que le permitía hacerlo mucho más rápido. En sus primeros intentos con algunas direcciones de servicios conocidos, lo único que obtuvo fue errores de autenticación y direcciones inexistentes.
Captura de pantalla tomada por Ezequiel, al momento que logró acceder al servidor de Google solo modificando la dirección
Encontrar fallas de seguridad es un trabajo muy bien pagado
Sin embargo, en uno de sus intentos se topó quizás por mero accidente, con una dirección que no solicitaba ninguna autenticación, y le permitió sin más, acceder a un portal donde había una lista de servicios internos de Google. Lo que llamó su atención, fue un mensaje en la parte inferior de la página, que indicaba que se trataba de información confidencial.
El sencillo reporte del bug realizado por Ezequiel, el cual le otorgó una jugosa recompensa
Sin intenciones de husmear más a fondo, Ezequiel salió de la página, y reportó lo que él pensaba era un pequeño bug de seguridad, en el programa de recompensas por vulnerabilidades de seguridad de Google. Para su sorpresa, unas semanas después, fue contactado por el departamento de seguridad de la compañía, indicándole que su hallazgo había sido felizmente corregido y recibiría una recompensa de $10.000 dólares por el favor.
Aunque Ezequiel nunca supo a ciencia cierta que tipo de información había detrás de su hallazgo, por la magnitud de la recompensa, se pude intuir que era algo realmente sensible que tal vez le hubiera podido costar millones a Google de haber caído en las manos equivocadas.
En Xataka Colombia | Marcus Hutchins, el joven que detuvo el ransomware WannaCry, ha sido detenido por el FBI en EE.UU.
Vía | TNW