Первая уязвимость позволяла преобразовать произвольный gmail-аккаунт в аккаунт из корпоративного домена @google.com. В Issue Tracker она пробраться не позволила, но открыла дверь к разным корпоративным плюшкам и была оценена Google спустя 11 часов после извещения в 3 с небольшим тысячи.

Вторая уязвимость позволила получать извещения об обсуждениях уязвимостей, идентификаторы которых оказалось легко экстраполировать. Это было оценено Google в 5 тысяч через 5 часов.

Наконец, третьей попыткой стал достаточно простой post-запрос, включающий подобранный идентификатор уязвимости и позволяющий получать детальную информацию о любой зарегистрированной уязвимости. Тут время реакции сократилось до 1 часа, а вознаграждение выросло до 7500.

Источник: ZDNet

теги: google  |  предложить новость  |  обсудить  |  все отзывы (0)

[6927]

назад «  » вперед

аналогичные материалы Google заблокировала 2 с лишним миллиона приложений в прошлом году // 30.04.24 13:10 Google Drive находит файлы // 07.12.23 01:46 Google Drive теряет файлы // 27.11.23 20:02 Google начинает платить за найденные уязвимости // 31.08.22 20:16 Google окончательно прикрывает бесплатный G Suite // 28.01.22 16:48 Apple, Google, Microsoft и Mozilla забанили казахстанский сертификат // 19.12.20 03:13 Google закрывает безлимитные Photos // 11.11.20 22:12

последние новостиBugTraq.Ru: последние новости Microsoft обещает радикально усилить безопасность Windows в следующем году // 19.11.24 17:09 Ядро Linux избавляется от российских мейнтейнеров // 23.10.24 23:10 20 лет Ubuntu // 20.10.24 19:11 Tailscale окончательно забанила российские адреса // 02.10.24 18:54 Прекращение работы антивируса Касперского в США // 30.09.24 17:30 Microsoft Authenticator теряет пользовательские аккаунты // 05.08.24 22:21 Облачнолазурное // 31.07.24 17:34