Omicrono, la tecnología de El Español

Google ha otorgado un premio a un estudiante que descubrió cómo obtener datos confidenciales de servidores de Google.

Hay tres maneras de reaccionar cuando alguien descubre una vulnerabilidad en tu sistema; o lo recompensas, o lo persigues, o haces como si no hubiera pasado nada.

Si algo hemos aprendido, es que perseguir a los que se saltan la seguridad de un sistema es lo más contraproducente que puedes hacer; muchas de estas personas son aficionados o hackers “white hat” que buscan vulnerabilidades como hobby o como negocio.

Un estudiante descubre lo que los ingenieros de Google pasaron por alto

Sí, es posible ganar dinero reportando vulnerabilidades; Google es la compañía más famosa por otorgar altas cifras a cualquiera que sea capaz de saltarse su seguridad. Durante mucho tiempo fue el motivo por el que se arreglaban tantos bugs de Chrome, por ejemplo.

El último caso es algo más grave; se trataba de una vulnerabilidad que permitía evitar la seguridad de los servidores de Google para otorgar acceso a cualquier atacante.

Esta persona era capaz entonces de obtener información confidencial; por lo que si se hubiese usado con fines malignos podría haber sido una gran pesadilla para Google.

Afortunadamente para la compañía, detrás del ataque no estaba otro que Ezequiel Pereira; un estudiante uruguayo con un brillante futuro en el sector de la seguridad informática, evidentemente.

Lo realmente llamativo no es eso. Es que la vulnerabilidad descubierta por Pereira en realidad era bastante simple, e impropia de una compañía como Google.

Cómo se consiguió acceder a datos confidenciales de servidores de Google

Usando Burp Suite, una herramienta que permite escanear vulnerabilidades, el joven hacker pudo modificar el encabezado de host (Host Header) para introducir los servidores de back-end que quisiera.

El encabezado de host es el dominio al que pertenece el servidor; normalmente no es un problema, porque hay medidas (como un login) para evitar que alguien entre donde no debería. Y de hecho eso es lo que ocurrió en todos los servidores que Pereira probó, menos en uno.

Por algún motivo, ese servidor no había sido configurado como debía, y permitía a cualquiera entrar sin usuario ni contraseña. Una vez dentro, descubrió varios enlaces, entre los que había un “Google Confidential”. Eso ya eran palabras mayores, así que decidió parar la excursión y avisar a Google.

La compañía respondió rápidamente, y menos de un mes después le otorgó 10.000 dólares por su descubrimiento. Por supuesto, el problema ya está solucionado.

10.000 dólares puede que sean pocos teniendo en cuenta la cantidad de dinero que Google podría haber perdido si la información confidencial se hubiese filtrado.

2 de 9