Peki bu web sitesi tam olarak nedir? Belgelere göre Sorun İzleyici (dahili olarak Buganizer Sistemi olarak adlandırılır), ürün geliştirme sırasında hataları ve özellik isteklerini izlemek için Google’ın şirket içinde kullanılan bir araçtır. Belirli projelerde Google ekipleriyle ortak çalışması gereken harici genel kullanıcılar ve iş ortağı kullanıcılar tarafından Google dışında kullanılabilir.
Başka bir deyişle, birisi sahip olduğunda sorun bir Google ürünüyle birlikte sorun izci. Mantıklı, değil mi? Harici kullanıcılar olarak biz, buzdağının yalnızca görünen kısmını görüyoruz: Önceden onaylanmış küçük bir dizi kategori ve Google’daki birinin açıkça harici bir hesap eklediği sorunlar (ör. güvenlik açığı raporları. Peki yüzeyin altında ne kadar bilgi yatıyor?
En son genel konulara atanan sayısal kimlikleri gözlemleyerek, bu aracın dahili olarak ne kadar kullanıldığını kolayca tahmin edebiliriz. Yaklaşık var Saatte 2000–3000 sayı Mountain View’da çalışma saatleri içinde açılıyor ve yalnızca %0,1 bunlardan bazıları halka açıktır. Bu sistemdeki bir veri sızıntısının oldukça büyük bir etkisi olacak gibi görünüyor. Hadi kıralım!
Sorun izleyiciyi keşfettiğimde fark ettiğim ilk şeylerden biri, şuna benzeyen özel bir adrese e-posta göndererek tartışmalara katılabilme yeteneğiydi:
buganizer sistemi+bileşen kimliği+sorun kimliği@google.com
(hangisinde bileşen kimliği bir kategoriyi temsil eden bir sayıdır ve sorun kimliği yanıtladığınız ileti dizisinin benzersiz bir tanımlayıcısıdır)
Bu bana, bilgisayar korsanlarının bu tür e-posta sistemlerinden yararlanarak kuruluşların sohbet sistemlerine sızmasına olanak tanıyan Bilet Hilesi adı verilen yeni bir bulguyu hatırlattı. Bunun bir şey olduğu göz önüne alındığında @google.com e-posta adresini kullanarak Google’ın Slack ekibine kaydolmayı denedim ve karşılaştığım onay sayfası oldukça umut verici görünüyordu:
Ne yazık ki Slack’ten gelen hiçbir e-posta gelmedi.
Aklıma gelen bir sonraki en iyi şey bir Google hesabı almaktı. @google.com Buganizer’da bana ekstra ayrıcalıklar sağlayacağını umduğum ana e-posta adresi. Böyle bir hesabın Google dışından kaydedilmesine izin verilmemesi gerekiyordu:
Ancak bu filtreyi aşmanın bir yolunu buldum: Başka bir sahte e-posta adresiyle kaydolursam ancak e-postayla alınan bir bağlantıya tıklayarak hesabı onaylayamazsam, e-posta adresimi herhangi bir sınırlama olmaksızın değiştirmeme izin verildi. Bu yöntemi kullanarak yeni bir Google hesabının e-postasını şu şekilde değiştirdim: [email protected].
Kısa bir süre sonra ilgili sorun sayfasında onay e-postasını mesaj olarak aldım:
Güzel! Onay bağlantısını tıkladım, Sayı Takipçisine giriş yaptım ve…
Kurumsal giriş sayfasına yönlendirildim. Ve hayır, Google hesabımın kimlik bilgileri orada çalışmadı. Serseri.
Bununla birlikte, bu hesap bana internetin diğer yerlerinde otostop çekme yeteneği de dahil olmak üzere (ücretsiz, belki de?) pek çok ekstra fayda sağladı, bu yüzden hala kötü niyetli kullanıcılara birçok kapıyı açan bir güvenlik sorunuydu.
Kabul edildi: 11 saat | Ödül: 3.133,7 dolar | Öncelik: P1