Хакер пытался три недели связаться с Google, которая по ошибке выплатила ему $250 тыс., чтобы вернуть деньги

bghiemk7d1ktzymdi7rymqtdgmy.jpeg

Исследователь систем безопасности и багхантер Сэм Карри рассказал, что получил от Google непонятную выплату в размере $250 тыс. Он пытался, но безуспешно, в течение трёх недель выяснить через техподдержку компании, почему это произошло и как вернуть эти деньги тому багхантеру, которому они действительно предназначались.
Карри занимается поиском различных уязвимостей в веб-приложениях и работает инженером по безопасности в компании Yuga Labs. Его работодатель и сам хакер зарегистрированы на площадке Google по выплатам вознаграждений за найденные уязвимости в сервисах компании. Но Карри не находил и не отсылал в Google информацию по такой критической уязвимости, за которую компания выплачивает такие большие суммы. Ему ещё повезло, что Google не перечислила ему $1 млн, что сейчас является максимальной выплатой за рабочую цепочку эксплойтов для удалённого выполнения кода во обход чипа безопасности Titan M.

В итоге Карри решил ничего не делать с деньгами на счёте и подождать ответа Google, так как решил для себя, что компания, скорее всего, заплатила ему случайно.

Представитель Google все же вышел на связь Карри, но только после огласки этой ситуации со стороны общества хакеров в СМИ.

В компании признались, что совершили дорогостоящую ошибку. «Наша команда по выплате багбаунти недавно произвела платёж не той стороне в результате человеческой ошибки. Мы ценим, что пострадавший партнёр быстро сообщил нам об этом, и мы работаем над исправлением этой ситуации», — рассказал СМИ представитель Google. В компании не уточнили детали инцидента, хотя в её информационной системе должны быть минимизированы подобные человеческой ошибки.

Карри поблагодарил Google за ответ и пояснил, что ему любопытно, как часто что-то подобное происходит в Google и какие системы есть в компании для проверки подобных ошибок. Также он рассказал СМИ, что пока деньги компании до сих остаются у него на счёту и с ними ничего не происходит.

В июле 2021 года Google сообщила, что выплатила вознаграждения более чем 2 тыс. исследователям безопасности из 84 разных стран за сообщения о более чем 11 тыс. уязвимостей с момента запуска своей программы по вознаграждению за уязвимости, которую компания запустила более десяти лет назад. С января 2010 года Google выплатила экспертам и энтузиастам более $29 млн в качестве вознаграждения за уязвимости.

© Habrahabr.ru