Как стать автором
Обновить

Хакер пытался три недели связаться с Google, которая по ошибке выплатила ему $250 тыс., чтобы вернуть деньги

Информационная безопасность *Тестирование веб-сервисов *Финансы в IT IT-компании


Исследователь систем безопасности и багхантер Сэм Карри рассказал, что получил от Google непонятную выплату в размере $250 тыс. Он пытался, но безуспешно, в течение трёх недель выяснить через техподдержку компании, почему это произошло и как вернуть эти деньги тому багхантеру, которому они действительно предназначались.

Карри занимается поиском различных уязвимостей в веб-приложениях и работает инженером по безопасности в компании Yuga Labs. Его работодатель и сам хакер зарегистрированы на площадке Google по выплатам вознаграждений за найденные уязвимости в сервисах компании. Но Карри не находил и не отсылал в Google информацию по такой критической уязвимости, за которую компания выплачивает такие большие суммы. Ему ещё повезло, что Google не перечислила ему $1 млн, что сейчас является максимальной выплатой за рабочую цепочку эксплойтов для удалённого выполнения кода в обход чипа безопасности Titan M.

В итоге Карри решил ничего не делать с деньгами на счёте и подождать ответа Google, так как решил для себя, что компания, скорее всего, заплатила ему случайно.

Представитель Google всё же вышел на связь с Карри, но только после огласки этой ситуации со стороны общества хакеров в СМИ.

В компании признались, что совершили дорогостоящую ошибку. «Наша команда по выплате багбаунти недавно произвела платёж не той стороне в результате человеческой ошибки. Мы ценим, что пострадавший партнёр быстро сообщил нам об этом, и мы работаем над исправлением этой ситуации», — рассказал СМИ представитель Google. В компании не уточнили детали инцидента, хотя в её информационной системе должны быть минимизированы подобные человеческие ошибки.

Карри поблагодарил Google за ответ и пояснил, что ему любопытно, как часто что-то подобное происходит в Google и какие системы есть в компании для проверки подобных ошибок. Также он рассказал СМИ, что пока деньги компании до сих остаются у него на счёте и с ними ничего не происходит.

В июле 2021 года Google сообщила, что выплатила вознаграждения более чем 2 тыс. исследователям безопасности из 84 разных стран за сообщения о более чем 11 тыс. уязвимостей с момента запуска своей программы по вознаграждению за уязвимости, которую компания запустила более десяти лет назад. С января 2010 года Google выплатила экспертам и энтузиастам более $29 млн в качестве вознаграждения за уязвимости.
Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
Что вы сделаете, если получите от Google ошибочный перевод на $250 тыс.?
40.67% Свяжусь с компанией для возврата денег 464
9.99% Свяжусь с компанией и поблагодарю, но не отдам 114
23.31% Карту и счёт закрою, место жительства сменю 266
3.16% Отдам на благотворительность 36
36.28% Очень сильно удивлюсь и не поверю в такую ситуацию 414
1.31% Свой ответ в комментарии 15
Проголосовал 1141 пользователь. Воздержались 248 пользователей.
Теги:
Хабы:
Всего голосов 22: ↑20 и ↓2 +18
Просмотры 39K
Комментарии 83
Комментарии Комментарии 83

Публикации