Esta es una muestra más de la importancia de la labor de los hackers éticos y las plataformas de reporte de vulnerabilidades. Wouter ter Maat, especialista en seguridad en la nube, fue recompensado por Google gracias a su reporte sobre una vulnerabilidad crítica en Google Cloud Platform (GCP).
El programa de recompensas por vulnerabilidades en GCP fue creado en 2019, en un intento de la compañía por incentivar el trabajo de investigación sobre su plataforma de cómputo en la nube, ofreciendo recompensas de hasta 100 mil dólares por reportes de seguridad críticos.
Recientemente Google reveló que se recibieron decenas de reportes de consideración, aunque entre todos destaca el enviado por ter Maat, que recibió el primer lugar. El investigador, de origen neerlandés, se centró en la presencia de cuatro fallas de seguridad en Google Cloud Shell; una de estas fallas abusaba de la función “Open In Cloud Shell”, lo que permitiría la clonación de repositorios alojados en GitHub o Bitbucket.
El experto en seguridad en la nube demostró cómo una imagen maliciosa de Cloud Shell especialmente diseñada puede usarse para obtener acceso no autorizado a los recursos de GCP. Posteriormente, ter Maat detalló la forma en que una vulnerabilidad en la lógica de comprobación de ruta del cliente Mercurial/HG permitiría a un actor de amenazas escribir archivos fuera de los límites del repositorio: “Si puede comprometer u obtener acceso al Cloud Shell de otro usuario, es posible acceder a todos los recursos del objetivo”, menciona el investigador.
Google reconoció la validez y seriedad del reporte, por lo que otorgó a ter Maat el premio de 100 mil dólares: “Google me contactó a inicios de febrero para hacerme saber que mi investigación era una de las tres principales contendientes para recibir la recompensa; dos semanas después recibí la noticia de que yo era el ganador”, declaró emocionado el experto en seguridad en la nube.
Al respecto, ter Maat asegura que esto es un incentivo para seguir verificando la seguridad en las implementaciones de Google y otras compañías tecnológicas. El programa de recompensas para GCP 2020 incrementará los premios, ofreciendo al ganador hasta 130 mil dólares.
El Instituto Internacional de Seguridad Cibernética (IICS) destaca la importancia de los programas de recompensa por vulnerabilidades, que nutren el trabajo de la comunidad de la ciberseguridad, al tiempo que ofrecen incentivos competitivos para evitar que los exploits lleguen al mercado negro del hacking.
El cargo Google paga $100 mil USD a investigador de seguridad por reportar una vulnerabilidad en GCP apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.
Ver Fuente
No hay comentarios.:
Publicar un comentario