A nagy cégek, beleértve a Microsoftot, a Facebookot vag y a Google-t, sok pénzt hajlandók fizetni azért, ha valaki hibákat talál a rendszereikben, szóval nem csak a rossz szándékú hackerkedéssel lehet pénzt keresni.

Egy biztonsági kutató a Google jóvoltából szép summát vághatott zsebre: 15 633 dollárt kapott azért, mert a keresőóriás hibakövetőjében (a Google belső elnevezésével élve: a Buganizer Systemben – ez a rendszer szolgál a hibák és a szolgáltatás-kérések követésére a termékfejlesztés során) talált problémákat. Ezt a rendszert külső felhasználók is elérhetik, amennyiben bizonyos projektekben együttműködnek a Google-lel.

Alex Birsan részletesen is leírja, hogy miért kapott ekkora jutalmat. Három sebezhetőségre derített fényt. Az elsőt a Google belső hibakeresési szolgáltatásának elérésében találta. Ehhez egy google-s e-mail címre van szükség, azonban Birsan rájött arra, hogy ha a Google-fiókra történő feliratkozáskor nem kattint a megerősítésre, akkor képes megváltoztatni a @google.com-os címet bármire. Ezzel ugyan nem fért hozzá a belső hibakeresőhöz (eredetileg az volt a célja), viszont egy sor különleges kiváltságot kapott vele, például internet-elérést, a campus taxi használatát stb. Ez a hiba 3 133 dollárt hozott neki, és a Google 11 órán belül ki is javította.

Alex Birsan

Ezután Birsan a hibakeresőben történő csevegésekbe próbált betekinteni (ehhez a csillagozás funkciót használta), és ez sikerült is neki, igaz, csak fordítással kapcsolatos kérdésekről szólt a diskurzus. Ennek ellenére 5000 dollárt kapott érte, és a Google 5 óra alatt javította a hibát.

A legsúlyosabb hibát a hibakövető API-jának vizsgálatakor találta: amennyiben azt a parancsot adta az API-nak, hogy távolítson el egy e-mail címet egy témakörből, akkor megkapta a hiba részletes leírását. Ez tényleg súlyos sebezhetőség, egy óra alatt be is foltozták, és Birsan 7500 dollárt kapott érte.

Birsan a Google-hibák Szent Gráljának nevezi a hibakövetőt, lévén, hogy valamennyi hibáról információt ad. Viszont amennyiben itt kiderül egy hiba, azt valóban órákon belül javítják, szóval a sebezhetőségek hatása minimális – írja a szakember, aki nagyon örül az extrapénznek, és tovább folytatja a hibakeresést a Google-termékekben.