Utilizando Burp Suite, el estudiante universitario modificó una de las cabeceras de uno de los servicios de Google para acceder al backend. A fin de cuentas, lo importante en todo esto es que el estudiante consiguió acceder a los servidores de la compañía de Mountain View y localizar allí archivos confidenciales. Y para todo ello, como es evidente, tendría que haber utilizado una pasarela e introduciendo datos de usuario validados por la propia Google. Es decir, que consiguió saltarse la seguridad de acceso a los servidores de Google.
Google suele recompensar a quienes les ayudan a mejorar su seguridad
Google, como otras compañías tecnológicas de su calibre, acostumbra a lanzar concursos de seguridad en los que dan acceso anticipado a una determinada herramienta, o un servicio, y permiten lanzar ataques de todo tipo en busca de vulnerabilidades. Telegram lo hizo hace ya varios meses, por ejemplo, y no sobre una herramienta sino sobre el sistema de cifrado de sus mensajes. Y este tipo de concursos premian de forma económica a quien encuentre algún tipo de fallo o de agujero de seguridad. En este caso, Google premió a Ezequiel Pereira con un pago de 10.000 dólares fuera de ningún tipo de concurso.
La información sobre el problema de seguridad fue notificada a la compañía de Mountain View en julio de este año, a mediados, y en menos de un mes Google ya ha solucionado el problema y el estudiante universitario ha recibido el correspondiente pago. Puede parecer mucho dinero 10.000 dólares, pero este tipo de problemas, en los que un atacante podría tener acceso a información confidencial de la empresa, podría acabar saliendo mucho más caro.
