جوجل تكافئ شاب لعثوره على ثغرة أمنية

جوجل تكافئ شاب لعثوره على ثغرة أمنية

زاد الاردن الاخباري -

منحت شركة جوجل الطالب ازيكويل بيريرا من الأوروغواي مبلغ 36 ألف دولار لاكتشافه ثغرة أمنية تسمح له بإجراء تغييرات على أنظمة الشركة الداخلية كجزء من برنامج مكافآت جوجل لمكتشفي الثغرات الأمنية Google Vulnerability Reward Program (VRP)، وهذا هو الخلل الخامس الذي يبلغ عنه بيريرا ولكنه الأكثر ربحًا له حتى الآن. وقال بيريرا لمحطة سي.ان.بي.سي التلفزيونية الأمريكية: “أول خلل أمني عثرت عليه بجوجل تم منحي مكافأة قيمتها 500 دولار وشعرت وقتها بتحقيق إنجاز كبير لذلك قررت مواصلة المحاولة منذ ذلك الحين”.

على الرغم من أن بيريرا اكتشف هذا الخلل في وقت سابق من هذا العام، إلا أنه حصل على إذن بالكتابة عن كيفية اكتشافه هذا الأسبوع بعد أن أكدت شركة جوجل أنها أصلحت المشكلة. وقال بيريرا من خلال منشور له عن اكتشاف الثغرة: “في أوائل عام 2018 حصلت على حق الوصول إلى بيئة نشر محرك تطبيقات جوجل Google App Engine، حيث تمكنت من استخدام واجهات برمجة التطبيقات الداخلية لتنفيذ “تعليمات برمجية عن بُعد” وهي الطريقة التي تعمل بها جوجل، وبعد ذلك بفترة قصيرة لاحظت أن كل تطبيق موجود على محرك تطبيقات جوجل (Google App Engine (GAE قد رد على كل طلب HTTP مع عنوان “X-Cloud-Trace-Context” ، لذلك افترضت أي موقع ويب يعرض هذا العنوان ربما يتم تشغيله على محرك تطبيقات جوجل، وبفضل ذلك علمت أن موقع “appengine.google.com” نفسه يعمل على منصة GAE، ولكن يمكنه تنفيذ بعض الإجراءات التي لا يمكن تنفيذها في أي مكان آخر لذلك حاولت اكتشاف كيف كان بمقدوره تنفيذ هذه الإجراءات.

محرك تطبيقات جوجل هو عبارة عن منصة حوسبة سحابية لاستضافة وتطوير تطبيقات يتم إدارتها بواسطة مراكز بيانات خاصة بجوجل، ويتيح محرك تطبيقات جوجل تشغيل برامج مخصصة باستخدام العديد من اللغات والمنصات المختلفة وقد تم بناء العديد منها في بيئة جافا. في هذه المرحلة لم يكتشف بيريرا سوي الثغرات الأمنية في نظام جوجل من خلال برنامجها للمكافآت، كما هو الحال في معظم شركات التكنولوجيا الكبرى التي لديها برامج مكافآت خاصة بها لمكتشفي الثغرات. حيث تقول الشركات إنه إذا شجعوا الباحثين الأمنيين على اختبار أنظمتهم من أجل المال فإن ستكون لديهم فرصة أفضل للتخلص من هجمات القراصنة الضارة.


تحدد جوجل العائد الذي يحصل عليه مكتشف الثغرة على حسب مدى خطورة الثغرة المكتشفة، ما إذا كان يمكن أن تمنح شخصًا ما حق الوصول المباشر إلى خوادمها أو التأثير على نظامها، وكيف يمكن أن يكون هناك استغلال محتمل. وقد دفعت 2.9 مليون دولار إلى 274 باحثًا مختلفًا في العام الماضي وأعلى جائزة يمكن الحصول عليها قدرها 112،500 دولار. الجدير بالذكر ازيكويل بيريرا هو طالب في الثامنة عشر من عمره يدرس في جامعة الجمهورية (جامعة عامة في أوروغواي) مهتم بأمن الكمبيوتر، ويقوم بالإبلاغ عن بعض مشكلات الأمان التي تخص شركة جوجل ثم يقوم بنشر تعليق حول كل منها بعد إصلاحها. في عام 2016 نقلته شركة جوجل إلى مقرها الرئيسي في كاليفورنيا بعد فوزه في مسابقةجوجل للبرمجة التي تحمل اسم (Google Code-in (GCI، والآن يحتل بيريرا المرتبة الثالث