Загружаем и храним в Google Drive файлы любого размера бесплатно. Баг или Фича?

    Недавно я нашел странную особенность в Google Drive. Определенная последовательность действий в Google Drive веб интерфейсе приводит к тому, что каждый может загрузить файлы любого объема в свою учетную запись и при этом не потратить ни одного байта на их хранение.

    Конечно, я сразу решил сообщить об этом в Google через программу BugHunter. Но, к моему сожалению, потратив неделю на общение со специалистами Google мне так и не удалось убедить их, что это баг. Сотрудник не смог воспроизвести этот баг и я получил ответ, что «это не баг, а фича» и меня отправили в RTFM. В конце концов Google просто закрыл тикет и перестал отвечать на мои письма.

    Так как переписка с Google зашла в тупик, я решил публично рассказать о этой «фиче» и, возможно, наконец привлечь внимание сотрудников Google к этой проблеме или хотя-бы понять, что я делаю не так. Ниже под катом история переписки с Google и proof of concept.

    Вот отчет, который я отправил в Google.
    Summary: Service abuse: Free unlimited file storage, space counting error

    Steps to reproduce:

    1. Create a new google drive account
    2. File «Getting started» appeared
    3. Right click on the file, click on «Manage Versions»
    4. Upload any amount of files as a new version of «Getting started», no space counting, even with «keep forever» checked for that file.

    Browser/OS: Any

    Attack scenario:

    Any regular user can do that with google drive user interface or experienced user via google drive api. A user can upload unlimited amount of files without any payments and store files forever for free.
    Как ясно из текста, чтобы воспроизвести проблему, необходимо создать новую учетную запись. После чего перейти в google drive и найти файл «Getting started», который создается автоматически в каждом новом аккаунте.

    Первое, что мне сразу бросилось в глаза, что размер этого файла 1MB, но занимает он 0 байт.

    image

    Это было странно, так как PDF это не нативный формат хранения Google Drive и должен использовать общий лимит. Было понятно, что сервис каким-то образом исключает этот файл из списка на подсчет места. Простое копирование файла приводило к тому, что файл начинал весить реальный мегабайт.

    Однако, как оказалось, если вместо копирования файла просто загружать новую версию, то эта новая версия все равно будет занимать 0 байт.

    Перед тем как опубликовать эту статью, я повторил эксперимент с новой учетной записью и без всяких проблем успешно загрузил 17GB в аккаунт с лимитом 15GB.

    В Google Drive можно выбрать опцию «сохранять все версии», я проверил, если ее выбрать, то все версии файла сохраняются и не тратят лимит места.

    image

    Таким образом, путем нехитрых ухищрений можно хранить сколько угодно файлов любого размера в Google Drive.

    К сожалению, сотрудник Google не смог воспроизвести эту проблему и попросил меня сделать видео:
    Hey,

    We're closing this bug, as you didn't provide enough details for us to determine what the security issue you're reporting. Feel free to update this report with additional details.

    We tried to replicate it and wasn't able to, if you think you were able to feel free to share a proof of concept in a video.

    If you didn't provide this yet, please include the reproduction steps (https://sites.google.com/site/bughunteruniversity/improve/help-us-reproduce-the-bug), an attack scenario (https://sites.google.com/site/bughunteruniversity/improve/writing-the-perfect-attack-scenario) and a short explanation why do you believe this is a technical security vulnerability.

    Thanks!
    Google Trust & Safety
    Я сделал видео со своего тестового аккаунта в моем домене Google Apps с лимитом 15GB.

    И через некоторое время получил вот такой ответ:
    Hello,

    Thanks for the POC, we noticed in the video you shared it is associated with Gsuite account visible on the right top of the video screen.
    For more information on G suite storage limit please visit. support.google.com/a/answer/172541?hl=en

    Your report is now *closed*

    Thanks!
    Google Trust & Safety
    Дальнейшие мои попытки связаться с Google не увенчались успехом, я попробовал написать еще один комментарий, приложил еще раз видео с POC с обычного акаунта, но в ответ только тишина.

    В заключение, хочу сказать, что я достаточно много участвовал в Yandex BugBounty и всегда получал отличную обратную связь по всем моим отправленным отчетам. К сожалению, в Google, на мой взгляд, очень странно относятся к таким сообщениям. Скорее всего, это моя первая и последняя попытка отправить информацию о баге в приложениях Google при такой обратной связи.

    P.S. Ссылка на report, если на Хабре вдруг присутствуют сотрудники Google, возможно они смогут прояснить, что я сделал не так.

    UPDATE 26.02.2020:
    Сегодня баг переоткрыли. Всем спасибо!
    image
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 124

      +26

      Классный баг! Так и вижу где-нибудь в коде if filename == 'getting started.pdf': size = 0


      Google конечно не правы в этой ситуации. Надеюсь это просто недобросовестный сотрудник который проверяет сообщения о багах, а не технический персонал

        +3

        Сотрудник ага
        https://coub.com/view/28tvw1

          +7
          Очень печально, что из-за таких «сотрудников» теряется вера в Google и их проект BugHunter. Желания присылать им другие уязвимости у меня поубавилось.
            +1
            Господи, можно просто зарегистрироваться как фейковый студент (США) и получить вообще безлимитный google drive (максимум размер файлов 5 TB единственное ограничение, причем там еще общие диски есть). 4pda.ru/forum/index.php?showtopic=889003&st=4740
            Причем там и Office 365, и one drive 1 Tb, и т.д. можно заполучить.

            Лучше использовать Санта-барбару институт. Или вашингтон…
              –1
              Ага, вот что на ави*о массово продают…
                0
                Нет, это бесплатно можно сделать, это учетка в зоне названиеунивера.edu (не gmail.com). А на Авито и Ebay необязательно это продают, там могут продавать корпоративные учетки в корпоративной деменной зоне. А не .edu. У неё из плюсов более долгий срок действия, так как админы в курсе этого, а в универах такие учетки банят, хотя у меня пока только одну забанили. А минусов у такой учетки полно. Например её нельзя использовать в амазоне или у apple с autodesk или в github, потому что они требуют .edu в конце для бонусов. Советую вашингтонский колледж, там сложнее получить, но зато плюшек больше 4pda.ru/forum/index.php?showtopic=889003&st=3920#entry90421744
                Еще смотрите огромною сводную таблицу разных колледжей.
                docs.google.com/spreadsheets/u/0/d/1k7pUwL0PxNnMRWPfQ65brvaFy7pyLJ3gKKXWafPTqdw/htmlview
                У меня была mail.ccsf.edu, её забанили, эта инфа есть в таблице (массово банят учетки).
                  +2
                  В какой-то момент просто начинаешь понимать, что твои данные, удобство их извлечения, и возможность не гадать «забанят-не забанят» стоит дороже, чем деньги которые за это просят
                    +4

                    А потом приходит понимание, что и деньги ничего этого не гарантируют, а загружаемые вами данные вам не принадлежат. Почитайте ToS'ы этих сервисов с их отказами от ответственности и возмещения, передачей исключительных прав и прав на доступ к ним "третьими лицами" по факту размещения данных в сервисах.

                      0
                      Не гарантируют, кто ж спорит. Но все же шанс что Гугл потеряет или заблочит все мои файлы в оплачиваемом мной гугл диске — очень сильно ниже, чем если я буду пользоваться «безлимитным фейковым студентом», которого заблочат просто по факту выявления. А отказы от ответственности и вот это всё мы получим в равной мере. Если вам нужны гарантии, ответственность и возмещения, ну так и ценник будет соответствовать, и договор будет на 30 листах. Наивно думать что можно все это получить за 10$ в месяц любому желающему.
                        0
                        Ну вот например в соглашении g suite про это написано достаточно интересно, особенно в отношении core services.
            0
            Интересно, что будет когда баг пофиксят, файл удалится?
              0
              Скорей всего, прилетит оповещение, что место исчерпано, удаляйте или за деньги расширяйте.
              +1
              Напомнило «китайские флешки» с чипом на гиг, на которой написано 16 гигов и вроде как файлы под 16 гигов записываются )))
                +1
                Интересно, а с другого акка ваши загрузки видны?
                Во времена студенчества на ECках баловались тем, что файлы вешали в очередь спулера печати. И шара для тех кто выучил пару команд и места в личной квоте не тратиться.
                  0
                  У каждого аккаунта свой файл и каждый может попробовать залить себе сколько угодно версий этого файла. Друг другу они не видны.
                    +2
                    Не интересовался до этого есть ли в паблике описание облачной файловой системы от гугла.
                    Но по открытым источникам файл хранилищ. Подобные файлы лежат на винтах в одном экземпляре. Т.е. если зааплодить mkv, то он даже заливается у некоторых со скоростью выше чем канал для провайдера. Контрольные суммы клиент посчитал, а бакенд решил, что можно обойтись просто симлинком.
                    Так что если лили не уникальный файл, а что-то распространенное, то там на винтах сотня другая байтов потратилась.
                      +1
                      вы про дедупликацию?
                  +10
                  Я почему то уверен, что когда этой «фичей» начнут пользоватся сотни-тысячи, гугл быстренько призанет фичу багом…
                    +5
                    Но денег за его обнаружение не заплатят при этом.
                      0
                      Напрямую — нет, но ведь должен же действовать институт репутации, и они в итоге должны потерять деньги иным способом. «Дырка» выглядит довольно нелепо. На рынке файловых хранилищ они в принципе не монополисты, чтобы так себя вести, разве нет?
                        0

                        Самое интересное, что указанный баг подрывает веру в гугл в обратную сторону. Во-первых, за хранилище кто-то заплатит. Так или иначе. В крайнем случае инвесторы, но вообще — это не совсем честное использование будет включено в стоимость тарифа для всех. Во-вторых, это серьезный баг и он подсказывает, что возможно, что гугл накручивает счётчик места на остальных файлах и биллит больше, чем в учетке у юзера есть. Я уже читал про баги в биллинга у Гугла. И возможно, что их существенно больше.

                          0
                          накручивает счётчик места на остальных файлах и биллит больше, чем в учетке у юзера есть

                          Мало того, что это немного отличается от ситуации «у каждой новой учетки есть один дефолтный файл, в котором есть баг». Это слишком тупо, выявляется элементарно, и репутацию может подпортить куда сильнее чем возможный профит от этого.

                          Вы это как себе представляете?

                          "- Давайте сделаем такой файлик, с недокументированными возможностями, если кто-то обнаружит их и будет пользоваться — молодец, мы сделаем вид что так и должно быть и вообще не воспроизводится.

                          — Но босс, где будем всё это хранить, это же не бесплатно? Инвесторы спросят «зачем вам столько новых хранилищ, у нас же нет столько клиентов, чтобы это всё заполнить?»

                          — Значит обманем всех остальных нормальных юзеров, подкрутим им биллинг, нарушим законы и поставим под угрозу репутацию, в перспективе потеряем намного больше, но никто же никогда заметит.

                          — Отличный план, за дело!"
                            –1

                            Ага. Только вот потеря репутации не страшит эти международные конгломераты, например, при утечках информации или нарушении режима хранения ПД. Или руководители среднего звена легко могут быть замешаны в каких-либо откатных схемах (ок, возможно, что это и не характерно для гугла, а скорее для dell/microsoft и пр. и действительно по законам США это может быть наказуемо — но сначала поймайте). Поэтому я могу допустить ЧТО угодно.


                            Это слишком тупо, выявляется элементарно, и репутацию может подпортить куда сильнее чем возможный профит от этого.

                            люди в целом тупые и жадные. И что? Я уж не говорю о том, что для конкретного сотрудника… репутация компании вещь весьма абстрактная.

                              0
                              Итак, представим что такое явление действительно существует, и не является редким багом, а сделано намеренно с целью раскошелить людей на дополнительное место в аккаунте.

                              1) Гугл это не сеть автомастерских по стране, никакой руководитель среднего звена не сможет в своем региональном ООО «Гугл» подкрутить алгоритм расчета свободного места, а у клиента взять оплату налом.
                              Или в счете приписать пару десятков мегабайт, взять за них деньги, и тем самым улучшить показатели своего филиала. То есть прибыль пользователь в любом случае принесет компании Google Inc.

                              2) Об этом явлении нет широкой огласки, сотен статей на профильных сайтах, комментов и обсуждений, ничего этого нет. Делаем вывод: либо всё очень хорошо замаскировано, не обнаружено массово, и с трудом может быть экспериментально подтверждено при изучении.
                              Либо не существует.

                              3)Также отметим, что это актуально только для личных аккаунтов гуглодиска, так как у корпоративных безлимитное хранилище и счет идет по юзерам, тут пририсовать лишних будет малореально.
                              Частным лицам доступны тарифы на 100 и 200 ГБ, и 2, 10, 20 и 30 ТБ. Фиксированные количества, а не за использованный ГБ. То есть какой то смысл есть побуждать тех, у кого места не хватает, перейти на тариф повыше.
                              2 ТБ и более в большинстве своем используют люди, которые как правило представляют себе что такое большой объем, сколько занимают их данные, сколько им нужно места. И они быстро обратят внимание, что с размерами что-то не так.
                              Сколько нужно пририсовать лишнего, чтобы это было и незаметно, и побудило человека купить не 200 ГБ, а 2 ТБ? Или не 2 ТБ, а 10?

                              4) Не думаю, что у гугла есть желание, чтобы большое количество сотрудников знало о том, что он обманывает клиентов, атмосферу внутри это не очень улучшает. А гугл очень за нее печется, печеньки там, спортзалы и прочее.
                              Создать такой алгоритм пририсовывания лишнего размера, сделать его необнаружимым для юзера, завязать со многими другими сервисами, протестировать и запустить на боевых серверах по всему миру, а потом чинить, переписывать и поддерживать всегда в актуальном… И при этом не спалиться своим же?
                              Нереально. Знал бы каждый сотрудник команды гуглодиска по всему миру, и половина остального гугла впридачу. И без участия кучи руководителей разных отделов и их взаимодействия это невозможно. А это как правило люди с хорошими зарплатами, и акциями компании.

                              И путем размышлений мы приходим к тому, что все эти сложные и рискованные телодвижения затеваются ради того чтобы какое-то количество обычных юзеров увидели что место заполнено, и не пожали плечами и не удалили какую-нибудь ненужную ерунду, а нажали «Купить еще место».
                              И стали бы платить не 139, а 219 руб в месяц, минус налоги.
                              Шура Балаганов style
                                +2
                                Обычно все события происходят во времени.
                                1. Поручили сотруднику сделать исключение из расчета.
                                2. Он сделал список исключений в виде идентификаторов файла и идентификатор этого файла добавляется туда при создании учетной записи.
                                3. В команде сменились люди (среднее время работы сотрудника в Гугле небольшое) и не осталось того, кто знал как точно работает этот функционал.
                                4. Сделали механизм версионирования
                                5. Привет багофича.
                                  0
                                  а сделано намеренно с целью раскошелить людей на дополнительное место в аккаунте.

                                  В моем изначальном сообщении шла речь о том, что если есть баги, которые работают в пользу юзера, наверняка есть баги, которые работают в обратную сторону. Вы этого ни опровергнуть, ни подтвердить не сможете. Насчет того, что были ли эти баги добавлены умышленны или случайно… Да какая разница? Аудит кода? srsly? Там в гугле наверняка столько кода, что всерьез его аудит попросту невозможно провести. Это такая же история как с опенсурсом — потенциально аудит можно провести, только это не мешает существовать проблемам вроде heartbleed. Или если речь идет про криптографию, которую верифицировать может только специалист (скажем, уязвимость в ГСЧ). Насчет репутации — повторюсь, как любой крупной компании Гуглу на нее плевать. Иначе не было бы историй, что несмотря на вой пользователь Гугл закрывает реально удачные проекты (хотя и возможно, что не очень популярные => малоприбыльные), что Гугл сотрудничает с военкой и уже сами разработчики начинают бастовать по этому поводу (деталей не помню, но недавно такая история проскакивала), что в Гугле утекают картинки с умных камер другим пользователем (а это серьезно, но все пофиг) и т.д.

                          +1
                          Я понимаю, что денег мне скорее всего теперь не видать, но, думаю, гугл может проявить жест доброй воли и подарить мне бесплатный безлимитный Google Drive аккаунт, я не буду против :)
                        +9
                        Загружаем и храним в Google Drive файлы любого размера бесплатно.

                        Загружаем — да, а вот храним ли — это большой вопрос. Вполне возможно, что в любой момент этот файл автоматически заменится на оригинальный, и к Гуглу нельзя будет предъявить никаких претензий на этот счет.

                          +23
                          Подобное вполне возможно и для любого другого файла в любом облачном хранилище…
                            +9
                            Ну вообще говоря в любом облаке что угодно может превратиться в тыкву и нельзя будет предъявить никаких претензий
                              +1
                              Если только облако не платное с SLA.
                                +5
                                Можно пример такого облака, где гарантируется сохранность данных в пользовательском соглашении или договоре. И чем эти гарантии обеспечены? Деньгами, страховкой на ограниченную сумму? Или компенсацией всех потерь заказчика?
                            +3
                            Кроме версий, данные ещё можно хранить в метаданных в тексте описания к файлу в Base64. Через API там тоже анлим по размеру и не учитывается в квоте аккаунта. Ну, так было ещё пару лет назад.
                              0
                              Хм, так можно в гугл документах base64 хранить, они тоже не учитываются в подсчёте места.
                              +1

                              В своё время таскал из анально-огороженного окружения в гит-репу пет-проекта и обратно коммиты через пару башскриптов и создание точек на гуглмапс :-)

                                +2
                                Пожалуйста, расскажите об этом! Только в своей статье не забудьте поставить тэг «Ненормальное программирование» :)
                                  +3

                                  А чего там рассказывать? Пишем башскрипт, который делает git-format-patch | gzip --best | base64 --encode и упихивает его в KMLку по шаблону, затем идём на mymaps.google.com и туда её заливаем. (Предвещая вопросы, гуглдиск был заблокирован)


                                  Дома держим второй скрипт, который делает cat $1 | perl -e '...' | base64 | gunzip -c | git-apply; git push, по приходу с работы лезем на гуглмапс и скачиваем оттуда KML со своими коммитами, скармливаем скрипту и оп, всё запушилось.


                                  Максимально получалось, вроде, что-то около 50 мегабайт после упаковки сохранять, без особых проблем.

                                    +2

                                    Как скучно я живу :)

                                      +3

                                      Лучше жить скучно, чем в окружении работодателя, считающего своих сотрудников недоразвитыми и не умеющими соблюдать NDA, при этом ставящего откровенно одноразовые средства защиты и ограничения доступа :-)

                              +1
                              Я бы не был так сильно воодушевлен этой «фичей». Так как не понятно, где это все хранится, трудно предположить, кто и когда *может* получить доступ к этому файлу. Нет, если делать многократно шифрованный файл (например системного бакапа), то может быть. Но ничего ценного (или как минимум имеющего ссылки на вашу личную информацию) я бы туда не клал.
                              0
                              Новый аккаунт не обязательный, главное, чтобы файл сохранился.
                                +1
                                а вы пробовали этот файл скачать назад и проверить?
                                  +5
                                  Да, скачивается нормальный бинарный файл, который я загрузил.
                                    0
                                    Вы загружали набор случайных байт или пустой файл? Может, он как-то ловко сжался? Что будет, если загрузить фильм?
                                      +1
                                      Я загружал дистрибутив. Думаю и фильм можно попробовать.
                                        0

                                        Я бы не стал загружать пиратку) риск получить бан выше.

                                          0
                                          Что, такое возможно? Загружаю свой файл и получаю бан за пиратство?
                                            +1
                                            А почему бы и нет? Скажите спасибо, если ещё и штраф не пришлют за распространение.
                                              0
                                              Если файл не расшарен и его владелец официально купил фильм — то за что штраф? В ряде стран создание копий для себя (бэкап) вполне законно.

                                              Так или иначе, ни гугль ни другое облако не имеют формальных прав в чём-то обвинять владельца файла, если он недоступен публично.
                                                +1

                                                Никто не будет разбираться — легальный ли у вас фильм, и не представитель ли вы Warner Brothers, для компаний вроде Гугла проще всего вас заблокировать (согласно условий договора — вас могут заблокировать в любой момент по ведению левого тапка) и всё.

                                                  +1
                                                  Вам известны случаи блокировки за загрузку фильмов или музыки которые не были расшарены?

                                                  Гугль блокирует если есть жалобы (о чём прямо говорят в T&C) — а если файл недоступен никому кроме вас, жаловаться некому. Я знаю довольно много людей которые свои коллекции музыки (легально купленные и не очень) хранят в драйве уже лет 10 — никаких проблем у них не возникало.
                                                    0
                                                    Ну например гугловая пикаса банила по велению левой пятки
                                                    www.reddit.com/r/reddit.com/comments/g8c3s/i_uploaded_nudes_to_a_private_locked_picasa_album

                                                    Гугль блокирует если есть жалобы (о чём прямо говорят в T&C) — а если файл недоступен никому кроме вас, жаловаться некому.

                                                    Никто не знает как вы распорядитесь этими файлами. М.б. расшарите их, например по ссылке, или будете сгружать по API на сайте и демонстрировать их посетителям. Т.к. возможностей поделиться файлом с гуглодиска много, то гуглу проще забанить акк, чем проверять -а не расшариваете ли вы файл, нарушающий авторские права.

                                                      +1
                                                      Не по велению левой пятки а по нарушению T&C, цитата из коих прямо и приведена в посте на который вы ссылаетесь (запрет на обнажёнку и порнографию).

                                                      А теперь покажите мне место в T&C Google Drive который запрещает загрузку музыки и видео, или где сказано что его могут проверить на нарушение прав без жалоб.

                                                      Если уж говорить про «никто не знает как вы распорядитесь», то давайте уж предположим что и детективные рассказы можно банить, а то вдруг вы решите по ним в реале повторить преступления. Заодно посадим вас за изнасилование, ведь аппарат-то есть, кто знает как вы им распорядитесь — проще заранее предотвратить.

                                                        0
                                                        а по нарушению T&C

                                                        В практически любом T&C есть пункт «и по другим причинам на усмотрение Сервиса», плюс " T&C может изменяться в одностороннем порядке с уведомлением по email/на сайте/доске объявлений на Альфа Центавра".
                                                          +5
                                                          Это всё теория. Есть конкретные примеры, когда «по велению левой пятки», т.е. без нарушения явно прописанных в T&C пунктов? Таких примеров когда просто так взяли и удалили (данные или аккаунт), не сказав почему, или сказав «потому что вы нам не нравитесь».
                                                            –1
                                                            Почитайте истории о ютубе, такое там сплошь и рядом, и до ТП там не достучатся.
                                              0
                                              Ещё и не такое возможно. Дропбокс однажды забанил одну нашу аппликуху, которая юзала его API, по той причине, что многие наши пользователи заливали в свои аккаунты пиратскую музыку и видео. У самого приложения не было функций распространения пираток, просто модуль синхронизации файлов с несколькими cloud-провайдерами. И вот поведения нескольких пользователей оказалось достаточно для бана всей аппликухи.
                                      0
                                      А раз в неделю/месяц это файл обновится на оригинальный без предупреждений и оповещений. упс.
                                        0
                                        Т.е., если вы свой файл обновляете, то это будет нормально, если в нём вдруг затрутся изменения за месяц?
                                          0
                                          Ваш всё равно сохранится в версиях.
                                            0
                                            Я так понял, что речь о том, что файл пересоздадут с потерей версий.
                                          0
                                          Есть функция «Manage versions», по идее этого достаточно, чтобы откатить внезапные изменения.
                                          0
                                          В Google Suite с тарифом Business etc нет ограничений на размер закачанных файлов, это они и имели ввиду. Видимо, вы не смогли им объяснить толком, что у вас не такой (судя по 15ГБ, легаси?)
                                            +5
                                            Я писал в Google со своего аккаунта в Google Suite Legacy. Можно было посмотреть тип учетной записи, я так думаю. Прикпепил им видео на котором видно, что лимит аккаунта 15GB. На мой взгляд они просто подошли формально к этому вопросу.

                                            Кроме того потом я сделал видео с обычного Google аккаунта и написал в тикет, но мое сообщение было проигнорировано. Какие еще действия надо было предпринять?
                                              –6

                                              Пишите еще. С разных аккаунтов. Пока не ответят.

                                                0
                                                Во всех багбаунти важно хорошо и кратко описать суть проблемы. Судя по вашим цитатам выше — можно было получше описать.

                                                На багбаунти льется куча репортов от малограмотных индусов и просто людей, которые сканеры какие-нибудь запустили. Те, кто менеджерит бб программы, очень часто пропускают стоящие репорты, т.к. они просматривают до сотни заявок в день. Это вам может казаться что тут все очевидно, а по факту люди не всегда могут понимать всю суть и важность проблемы.

                                                И вообще, от качества репорта вознаграждение. Сумма иногда в разы может отличаться, когда, например, человек четко описывает, как эта уязвимость может потенциально навредить или принести выгоду атакующему.
                                                  +5
                                                  Так можно придраться к любому отчету по уязвимости. Я сделал видео POC. Можно ведь было повторить кейс создав новый аккаунт? Это дело двух минут. А ведь вместо этого просто придрались к наличию значка справа и не посмотрели на видео, что лимит учетки 15GB и не изменился размер места после загрузки нового файла. Откуда я знал, что есть специфика с какого аккаунта кейс делать? Проблема во всех типах учетных записей.
                                                  Я специально на видео мышкой обводил места на которые надо было просто посмотреть.

                                                  Как я уже говорил, таких проблем с Яндекс Баунти у меня никогда не было, отправлял туда кучу отчетов и всегда получал нормальную обратную связь. Кроме того, никогда не ставили в игнор тикет после двух ответов.
                                                    –1
                                                    ИМХО, если честно видосик очень длинный и непонятно, что вы там тыкаете 2 с лишним минуты и на что пытаетесь курсором указать — я просмотрел 20 секунд, понял что непонятно где в этом видео искать (именно искать) конкретную проблему и не стал досматривать.

                                                    Попробуйте в следующий раз концентрироваться на сути проблемы в видео, можно потратить 5-10 минут на доп.монтаж видео и ускорение каких-то фрагментов долгих, но сделать действительно хороший баг репорт.
                                                      +4
                                                      Перед видосиком был скрипт действий, что именно надо сделать. Для того чтобы отправить баг, мне надо еще курсы видеомонтажа окончить? Кроме того вангую, что в этом случае «специалист» Гугла просто написал бы что-то вроде: «видео имеет признаки монтажа, баг не воспроизводится» :)
                                                        +3
                                                        Вы работали в тех. поддержке хотя бы когда нибудь? Разбирали обратную связь пользователей, что бы так утверждать?

                                                        Представьте конвейер — вам падает 3 сотни репортов в день, вам нужно все обработать и у вас нет времени смотреть больше 30 секунд видео.
                                                        Таким длинным видео вы просто проявили неуважение к специалисту тех.поддержки, у которого может быть норма выработки репортов в день и нет мотивации копаться в чужих репортах изучая каждый подробно.

                                                        А сами при этом вы требуете, что бы к вам отнеслись серьезно. На мой взгляд, это двойные стандарты какие-то.

                                                        Вообще, можно и без монтажа сделать нормальное видео, если продумать шаги и записывать только то, что нужно.
                                                        Впрочем это не важно: вы потратили время на поиск репорта, запись длинного видео, препирания с тех.поддержкой, написание статьи на хабре, общения в комментариях, а могли бы записать нормальное видео, потратить на это не на много больше времени и сэкономить кучу времени. Это ваш выбор.

                                                        Непрошенный бесплатный совет: пересмотрите свой подход к написанию багрепортов с точки зрения того, кто их будет читать.
                                                          +4
                                                          На мой взгляд надо было просто тупо пройти по скрипту который я приложил еще до видео. Если бы сотрудник выполнил свою работу по пунктам которые я написал, он бы воспроизвел проблему сразу без всякого видео.

                                                          Согласен, что хорошее видео сделать достаточно сложно, но монтаж я не стал делать специально, чтобы не было потом вопросов. Гайдлайн Гугла говорит о том, что видео не должно быть больше 2-3 минут, я уложился в этот период.

                                                          Если у сотрудника нет мотивации, надо переводить его на другие задачи или как-то материально мотивировать.

                                                          Лично я не против, чтобы сотрудники требовали дополнительной информации, но мне не нравится подход закрыть тикет и больше не отвечать на сообщения, особенно, если дело касается безопасности и абуза.

                                                          В общем случае это говорит о том, что в Гугл достаточно легкомысленно относятся ко всем таким сообщениям, что может привести к тому, что будет пропущен важный репорт.
                                                            0
                                                            В идеальном мире сотрудники должны все хорошо проверять, но в реальности так не происходит. И это не только проблема гугла.

                                                            Поэтому просто возьмите за правило все уязвимости и баги максимально тщательно описывать в следующий раз. Багхантеры в этой всей цепочке не могут никак на это влиять и спорить, у кого деньги тот и прав. На бб площадках вообще могут забанить навсегда за попытки оспорить неправильные решения. Остается только адаптироваться под этот нюанс.
                                                              +1
                                                              Багхантеры в этой всей цепочке не могут никак на это влиять и спорить, у кого деньги тот и прав. На бб площадках вообще могут забанить навсегда за попытки оспорить неправильные решения. Остается только адаптироваться под этот нюанс.

                                                              Чем больше я смотрю на современные Bug Bounty, тем лучше понимаю тех, кто говорит, что этот метод подходит для слива малоопасных и средних багов, для остального есть чёрный рынок и личные контакты с компаниями. Не одобряю чёрные рынки, но Bug Bounty — очень часто та ещё помойка.

                                                            +2
                                                            Таким длинным видео вы просто проявили неуважение к специалисту тех.поддержки


                                                            почему эту фразу хочется запихнуть в цитатник?
                                                            отдам ее нашей 1ЛТП, пусть так клиентам отвечают если что не так.
                                                              +1
                                                              «Ты пришёл показать нам баг в системе, но делаешь это без должного уважения...»
                                                0
                                                В яндекс почте такой же баг/фича был(а): к письму можно было прикреплять файлы, и если они больше лимита (вроде ~25МБ), то яндекс загружал их на яндексдиск, и объем этих файлов не учитывался в объеме яндексдиска пользователя. Это письмо можно было не отправлять, а хранить в черновиках писем. Из этого же черновика письма файл можно было скачать обратно на комп.
                                                  –1
                                                  как раз подошли к вопросу они по существу, какой толк для legacy аккаунтов поддерживать устаревшие ограничения? тут и пользователь и компания — в выйгрыше (первые получают больше места на диске, вторые экономят время-деньги на поддержке дублирующей инфраструктуры). считать это «ошибкой безопасности» или «абузом» по моему так притянуто за уши. :)
                                                    +1
                                                    Так в том то и дело, что фича работает и на обычных аккаунтах gmail.com.
                                                    0
                                                    Интересно, если сделать файл «Getting Started.pdf» как подключаемый том, можно ли будет при ограничении 10Гб сделать файл тома, скажем, 100 Гб? И будут ли синкаться изменения наживую в бэкграунде без возни с архивированием файлов в зип архиве с названием «Getting Started.pdf»?
                                                      0

                                                      Вероятно, это потребует полной перезакачки всего образа тома при каждом изменении. Сомневаюсь, что кто-то будет высчитывать diff по кускам файла. Так что при таком трафике это будет сомнительная польза.

                                                        +1
                                                        В гугл драйве теперь ограничение на 1 файл 5 TB. Если read-only том, то это достаточно простая история. Если нужна запись, то лучше использовать блочную файловую систему.
                                                        +1
                                                        Может Вы попали во время перед ланчем этого работника?
                                                          +3

                                                          Бедняжка старался попасть в Гугл, чтобы ездить на корпоративном автобусе до кампуса и есть в столовой "бесплатную" еду, а его какими-то сообщениями по Bug Bounty отвлекают.


                                                          А если серьезно, то я однажды встретился с тем, как разбирать сообщения посадили человека, который не умел читать (!), если что, это не в Гугле было. Выглядело примерно так:


                                                          — … Потом вам нужно сделать Х. Обратите внимание, делать Y ни в коем случае не надо.
                                                          — Я сделал Y, оно не работает.
                                                          — … Я еще раз говорю, надо сделать X, делать Y не нужно, оно не будет работать.
                                                          — Y не работает.
                                                          — Не делайте Y, прочитайте внимательно, пожалуйста!
                                                          — Уважайте мое решение и отстаньте.

                                                          +4
                                                          Компании Google сейчас некогда. Она занята рассылкой подробностей об обновленных Условиях использования…
                                                            +1
                                                            Спасибо! Сейчас испробуем, ох как испробуем! >:3
                                                              0
                                                              при всём уважении, но первый суппорт явно из отдела Секюрити, очевидно тикет был открыт в неправильной категории, он несколько раз спрашивает, в чём тут «security vulnerability». Конечно, вместо закрытия, он должен был перенаправить тикет в отдел абьюза.
                                                                +4
                                                                Отчет создавал вот тут и выбрал вот эту категорию: «I want to report a technical security or an abuse risk related bug in a Google product (SQLi, XSS, etc.).»
                                                                0

                                                                Не совсем понял, обязательно создавать аккаунт или можно просто создать getting started в текущем?
                                                                Сейчас со всеми своими проверками мобильных номеров много аккаунтов не создать...

                                                                  +1
                                                                  Можно использовать старый, если файл сохранился. Создать getting started не получится.
                                                                    0
                                                                    Для регистрации гугл-аккаунта мобильный номер не нужен
                                                                      +1
                                                                      Когда как, в зависимости от чистоты IP. Из TOR вообще не даст зарегать без телефона, серый айпишник даст вероятность, с белого вероятность велика, но не 100%.
                                                                        0
                                                                        Пробовал зарегистрировать новый акк, из хрома номер телефона не спрашивал, в лисе, на том же компе с того же ip спрашивал.
                                                                          0
                                                                          В случае нескольких регистраций подряд с одного IP стабильно спрашивает на 2-5 регистрации, больше 5 аккаунтов подряд без привязки к телефону никогда не получалось создать. Это как раз ваш случай, банальная защита от ботов.
                                                                            0
                                                                            Возможно, так глубоко не копал. Однако порядок проверки был таков: Сначала хром, потом лиса, потом опять хром. Полноценной регистрации не было, доходил только до момента заполнения полей. При этом в хроме телефон не спрашивался, а в лиса был обязательным. Так же имея старый акк, без привязки к телефону, не мог в него зайти (пользуюсь лисой) без указания номера. Гугл ругался, что данные не верные введены, причем пароль дал поменять. После указания номера, все чудесным образом заработало.
                                                                              0
                                                                              Если старым акком долго не пользовались, то это скорее всего защита от торговли акками. Там много интересного есть, жаль не было возможности покопаться «изнутри», но и «снаружи» основные сценарии легко просматриваются. Вот с яндексом не всегда можно было логику найти (или просто уже багофичи образовались), впрочем этим я занимался уже 5+ лет назад, частично оно изменилось за это время, но большая часть я смотрю сохранилась до сих пор.
                                                                                0
                                                                                Не пользовался им 6-10 месяцев. Возможно эта защита и сработала. Только я не могу понять как привязка номера к телефону защитит от торговли. Если я его «уже» продал без привязки, то купивший привяжет свой номер и все. Или как это работает?
                                                                                  0
                                                                                  Тут весь смысл в продаже пачки анонимных email'ов. Привязывая номер вы этой анонимности лишаетесь. Вариантов использования анонимных почт масса, от безобидного мультиаккаунтинга/ботов до жестких разводов. Потому «протухшие» акки просто выкидываются и покупается пачка посвежее. И торговля там далеко не поштучная.

                                                                                  А обычный пользователь привязывает реальный телефон в случае падения подозрений и продолжает радоваться жизни. Почтовый сервис тоже спокоен: если к нему придет на вас офф запрос от органов одной из стран, то он отдаст ваш номер телефона, а дальше уже не их проблемы, они сделали все что могли.

                                                                                  PS. Возможно есть еще дополнительные уровни этой схемы.
                                                                        0
                                                                        Смотря из какой страны вы регистрируетесь. И так же файл getting started нет если регистрация из некоторых стран.
                                                                          0
                                                                          А в каких странах файл не создается?
                                                                            0
                                                                            Россия — у меня после регистрации нового аккаунта на странице drive.google.com/drive/quota нет файла Getting Started. И при поиске на диске тоже его не находит. Дата и время: 01.03.2020 19:08 по МСК.
                                                                              0
                                                                              Регистрировал 25-го февраля — файл был. Но у меня язык UI стоит английский.
                                                                          +1
                                                                          формально да, только после пары дней использования он блокируется из-за «подозрительной активности», пока телефон не привяжешь. Даже если зарегать «на черный день» и вообще не использовать, активность будет «подозрительной».

                                                                          Один раз зарегал аккаунт специально под новый андроид телефон, чтобы использовать «неподозрительно» в обычном режиме. В итоге заблокировали после того как попытался зайти в него по-новой, после полной перепрошивки телефона.

                                                                          С микрософт аккаунтом такая же фигня была, но у них есть чат техподдержки, на котором я им три недели мозг выносил после блокировки. В итоге восстановили. Мне нравится их стандартный ответ, когда говоришь, что нет телефона: «Ну номер для восстановления аккаунта не привязывается к аккаунту, а нужен только для отправки смс, поэтому стрельните телефончик у своего друга.»
                                                                            0
                                                                            Даже если зарегать «на черный день» и вообще не использовать, активность будет «подозрительной».

                                                                            Это как раз очень подозрительно, высокая вероятность, что аккаунт зарегистрирован для продажи/фрода/ваш вариант. Блокировка практически гарантирована.
                                                                            В итоге заблокировали после того как попытался зайти в него по-новой, после полной перепрошивки телефона.

                                                                            Бывает такое, но редко. Имею родственников, которые хронически не то что пароли забывают, но и имена аккаунтов. Скорее всего что-то не понравилось, возможно даже в прошивке. Там у них явно куча эвристики, пополам с нечеткой логикой и модными нейронками, и никто не понимает как оно работает.
                                                                            С микрософт аккаунтом такая же фигня была, но у них есть чат техподдержки, на котором я им три недели мозг выносил после блокировки.

                                                                            Отвязки от моей почты угнанного аккаунта skype я от них около полу года добивался. И то бесполезно. Максимум чего я добился — это блокировка акка на пол года. Там ситуация получилась веселая, что к одной почте аж 3 аккаунта скайпа было привязано и угнанный был старый. В итоге восстановить пароль я не мог никак, техподдержка скайпа была на очень длительной реконструкции и заглушена ботом, за-то инфу о действия над акком я все равно получал: смена валюты, пополнение баланса и т.п.
                                                                        –2
                                                                        Ну и зачем ты так?
                                                                          0
                                                                          Блин, зачем я его удалял?
                                                                            +1
                                                                            надо было им туда качнуть сотню другую терабайт а лучше тысячу — быстрее бы дошло :)
                                                                              0
                                                                              Где ж ее взять, эту сотню-другую терабайт?
                                                                                0
                                                                                Можно мусора нагенерить через батничек вида (имя файла trash.bat):
                                                                                @echo off
                                                                                type trash.bat >> trash.bat
                                                                                trash.bat

                                                                                Или ISOшками какими то набрать необходимый объем, ISOшками даже веселее будет поскольку они не поджимаются архиваторами. :)
                                                                                  0
                                                                                  Но ведь для загрузки файла по уязвимости из поста файл нужно сначала от начала и до конца записать на диск, или я не прав? Это же не zip-бомба.
                                                                                    0
                                                                                    Или физический носитель или его эмуляция или сразу пробовать создавать/мержить всё на гуглодрайв подключив его как диск или папку.
                                                                                      0
                                                                                      А разве интерфейс «истории файлов» драйва можно подключить как диск или папку? Заменить файл — много ума не надо, но это так баг не сработает.
                                                                                      Таким образом, чтобы залить гуглу 100ТБ, их надо сначала сохранить где-то у себя. Сдается мне, что такая шутка вам выйдет дороже, чем гуглу.
                                                                                        0
                                                                                        было бы желание :)
                                                                                          +1
                                                                                          Нет никаких проблем в потоке лить, Google Drive API это позволяет сделать. Приземлять к себе при этом весь объем не требуется.
                                                                                            0
                                                                                            Это все меняет!
                                                                                0
                                                                                Знакомая ситуация… Помнится в универе, в 98 году была новелловская сеть и у всех студентов, в т.ч. и у меня были аккаунты с лимитом 500кб. Админские оповещения приходили путём подкладывания в каталог пользователя файлика, но файлик был не рид-онли, и один сокурсник попробовал эксплуатировать эту же уязвимость. Владельцем файлика был админ, и его (файлик) можно было открыть на «дозапись» и залить туда пару гигов из "/dev/random". За вскрытие уязвимости сокурснику добавили аж целый мегабайт места в аккаунте ))
                                                                                  0
                                                                                  С «багом/фичей» понятно. Но блин этот способ сродни тому как разорить Durex, используя их одноразовую продукцию многократно. Наверно так же подумал европейский инженер поддержки.
                                                                                  Неудобства эксплуатации бага не сделают это массовым явлением, а на сотне-другой интузиастов гугл не разорится.
                                                                                    +3

                                                                                    Пардон, но это из разряда "я нашёл у вас крутой баг, значит я очень важен".
                                                                                    Не смотря на "вау!!! гигабайты бесплатно!!", этот "баг" для компании — мелочь.
                                                                                    На безопасность не влияет, работоспособности продукта не убавляет, дискомфорта не вызывает, клиенты не жалуются. А то что какой-то упёртый смог залить лишний десяток гигабайт — ну и хрен с ним: массово никто не использует — т.к. обычный клиент не станет так заморачиваться. А будет большая утечка места — ну пофиксят баг или просто забанят аккаунт за нарушение правил пользования сервисом, делов-то.

                                                                                      0
                                                                                      отпишите потом, исправили «фичу» или нет) просто интересно что будет в конце). и что произойдёт с такими файлами после исправления
                                                                                        0
                                                                                        Ответили, что команда про баг уже знала. Сооветственно денег не дадут.
                                                                                          0
                                                                                          Маладцы…
                                                                                        0
                                                                                        Создал новый аккаунт в GoogleDrive.
                                                                                        Файла Getting started нету.
                                                                                        Исправили баг?

                                                                                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                        Самое читаемое