O Google recompensou um estudante uruguaio com US$ 10 mil após o rapaz ter encontrado uma falha de segurança que poderia permitir que hackers acessassem dados confidenciais da empresa.
Ezequiel Pereira, estudante do ensino médio, explicou o que o motivou em um blog: “eu estava entediado, então tentei encontrar algum erro no Google”. Após diversas tentativas, ele conseguiu acessar a uma página interna que não verificava o seu nome de usuário e nem sequer exigia qualquer outra medida de segurança.
Em seguida, Pereira foi redirecionado para outra página e ficou surpreso ao se deparar com um site no qual o Google nunca autorizaria o seu acesso. A página possuía diversos links para conteúdos sobre serviços e infraestrutura da empresa.
Depois de ver que o rodapé da página que dizia “Google Confidential”, o estudante decidiu parar e “relatou o problema imediatamente”, segundo Pereira.
Um membro da equipe de segurança do Google informou que iria analisar o problema e responderia depois da revisão do erro. Nesse momento, o estudante pensou que a sua descoberta não um grande feito e pensou que “deve ser algo pequeno que não vale um centavo, o site provavelmente tinha algum conteúdo técnico sobre os servidores do Google, mas não deve ser nada realmente importante”.
No entanto, a falha encontrada valia muito mais do que um centavo, e o Google lhe informou que, devido ao relato, o estudante iria receber US$ 10 mil dólares como parte do programa de recompensas por vulnerabilidades relatadas (VRP).
Em 2013, o Google ampliou a política do VPR para incluir uma seleção de aplicativos de software de alto risco, projetados principalmente para redes. O anterior programa de recompensas de falhas era focado principalmente em produtos do Google.
Entretanto, o estudante uruguaio disse que deseja se tornar um pesquisador de segurança no futuro e que está encantado. Além disso, confirmou que a falha foi resolvida.
“O bug foi resolvido e, segundo o Google, a grande recompensa foi porque encontraram poucas variantes que teriam permitido o acesso de um hacker aos dados confidenciais”, destacou.