Lek geeft onderzoeker toegang tot interne Google-bugdatabase

[Captain Kirk]

Een database waarin Google allerlei gevoelige informatie over bugs en ongepatchte kwetsbaarheden opslaat was zelf kwetsbaar waardoor een onderzoeker hier toegang toe wist te krijgen. Dat laat onderzoeker Alex Birsan via een artikel op Medium weten.

Birsan ontdekte verschillende kwetsbaarheden in de Google Issue Tracker. Dit is een intern systeem waarmee Google bugs en featureverzoeken tijdens de productontwikkeling bijhoudt. Het is beschikbaar voor gebruik buiten Google voor personen en partners die op bepaalde projecten met Google samenwerken. Het grootste gedeelte van het systeem is echter afgeschermd voor externe gebruikers. Zo zijn rapporten over nog niet gepatchte kwetsbaarheden in de diensten van Google alleen voor Google-medewerkers toegankelijk.

Birsan ontdekte echter drie problemen waardoor hij deze beperkingen kon omzeilen en toegang tot de afgeschermde bugmeldingen kon krijgen. Ook ontdekte hij een manier om alle data van meerdere bugmeldingen via één enkel verzoek op te vragen, zodat Google dit niet zou opmerken. Na ontdekking van de kwetsbaarheden waarschuwde Birsan Google en een uur later was het systeem uit de lucht gehaald. De onderzoeker ontving voor zijn bugmelding een beloning van 7500 dollar. Voor zover bekend is er geen misbruik van de kwetsbaarheden gemaakt.

Onlangs meldde persbureau Reuters op basis van voormalige medewerkers van Microsoft dat aanvallers vier jaar geleden toegang tot een interne bugdatabase van Microsoft hadden gekregen. Na ontdekking van de hack besloot Microsoft aanvallen op andere organisaties te onderzoeken. Er zou daarbij geen bewijs zijn gevonden dat de gestolen informatie bij deze aanvallen was gebruikt, aldus de ex-medewerkers. Microsoft heeft zichzelf nooit over het vermeende incident uitgelaten. In 2015 maakte Mozilla bekend dat een aanvaller toegang tot de interne bugdatabase 'Bugzilla' had verkregen en tenminste één ongepatchte kwetsbaarheid had gebruikt om Firefox-gebruikers aan te vallen.

 

 

bron: security.nl