Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 90 reacties

Onderzoekers van een Zweeds beveiligingsbedrijf zijn er in geslaagd om leestoegang te krijgen tot een productiesysteem van Google. Daardoor konden ze alle lokale bestanden uitlezen en eventueel verder inbreken in het Google-netwerk.

De onderzoekers van Detectify zochten voor hun poging om in te breken op een server van Google een verouderd stuk van de zoekmachine, waar ontwikkelaars hun eigen knoppen voor de Google Toolbar kunnen indienen. Daarvoor moet onder meer xml-code met stijlelementen worden geüpload.

De xml-parser van de Toolbar Button-gallery bleek echter niet te controleren welke bestanden vanuit het xml-bestand werden ingeladen. Daardoor konden de onderzoekers in principe elk bestand uitlezen, waaronder bestanden met wachtwoorden. Daarbij ging het om lokale wachtwoorden die voor systeembeheer werden gebruikt, niet voor wachtwoorden van gebruikers.

In potentie hadden de onderzoekers echter veel verder kunnen graven: ze hadden kennis van het interne Google-netwerk kunnen vergaren om bijvoorbeeld tot andere servers op het netwerk toegang te krijgen. In potentie biedt de kwetsbaarheid die de onderzoekers misbruikten, een zogenoemde xml external entity, ook de mogelijkheid om eigen code of een denial of service uit te voeren.

Of dat in dit geval ook kon, is niet duidelijk: de onderzoekers kozen ervoor om het beveiligingsprobleem bij Google te melden. In ruil daarvoor kregen ze een beloning van 10.000 dollar, omgerekend circa 7200 euro.

google pwned

Moderatie-faq Wijzig weergave

Reacties (90)

Hier een link naar de blogpost van Defectify.
Thanks. Leuk stukje om te lezen. Respect voor het team van Detectify voor het meteen aankaarten bij Google en respect voor Google voor de beloning en financiering van een road-trip door Europa. :-)
Dank je. Bronvermelding is blijkbaar niet meer van deze tijd.
Oef, wat een flink lek voor een bedrijf als Google. Dat verwacht je eigenlijk niet zo snel. Wel netjes van de onderzoekers dat ze het hebben aangekaart bij Google en ook netjes dat Google er dan een beloning aan vasthangt !:)
Oef, wat een flink lek voor een bedrijf als Google. Dat verwacht je eigenlijk niet zo snel.
Ja en nee, groot bedrijf maar dus ook groot aantal bestanden (miljoenen?), waarbij het vrijwel onmogelijk is 100% foutvrij te zijn...

Maakt het geen goede zaak natuurlijk, maar imho was het wel een keer te verwachten...

Toch mooi dat Google een beloningsprogramma heeft, anders was dit mogelijk verder misbruikt dan enkel het aantonen van het lek!
10.000 EUR is wel een beetje een beloning van niks IMO.

Om 2 redenen:

1. Daar kun je ongeveer een maand lang 1 middelmatige hacker voor inhuren. Ik kan me voorstellen dat het vinden van zo'n lek veel meer man uren in beslag neemt dan dat.

2. De potentiele beloning die hackers kunnen krijgen door de hack te misbruiken is veel en veel hoger dan wat Google hier bied.

Al met al is dat weinig motivatie voor hackers om op zoek te gaan naar lekken bij Google om die vervolgens netjes te melden.
Wat als je het verkoopt aan een minder legale partij en je wordt gepakt? Zou het liever safe spelen en 10.000 ontvangen dan de bak in draaien. Als je uitgeleverd wordt aan de USA ben je flink de sjaak.

Ook een beetje white en black hat gebeuren, blijkbaar zijn dit white hat hackers die het voor de veiligheid doen en niet puur voor het geld.
Of juist wél voor het geld. Als dit 2 of 3 white hat hackers betreft en ze vinden iedere maand 1, 2, 3 van die lekken bij bedrijven die allemaal ca. 10.000 dollar betalen hebben ze een meer dan prima boterham.
Als je puur voor het geld gaat hacken ga je dat niet op deze manier kenbaar maken. Dan had je het stil gehouden en aan de hoogste bieder verkocht. Ongeacht de motieven van deze partij/persoon.

Ik zit niet in die wereld maar ik durf wel met zekerheid te zeggen dat een achterdeur van dit kaliber op de zwarte markt redelijk wat meer oplevert dan 10k.
Dat is juist het punt, als je puur voor het geld gaat ben je geen White Hat Hacker he... dan kom je automatisch in de Black Hat categorie terecht om dat je het voor eigen gewin doet, no matter the cost.
Dat is niet helemaal waar, als jij een valide bug/lek in Google software/diensten meld krijg je daar een beloning voor. Google organiseert zelfs "hack-marathons" om gaten te vinden, hierbij kunnen leuke prijzen gewonnen worden.

Dit is zoals het hoort vind ik, als iemand een probleem aan je meld wat in theorie voor gigantische problemen kan zorgen daarom hoort die persoon daarvoor (flink) beloond moet worden. In het verleden ging dat nog wel eens anders.
Ja, het is natuurlijk in zo'n geval niet puur voor eigen gewin. Je krijgt namelijk niet het maximale uit je acties, en dat is iets wat een Black Hatter wel zou doen. Die gaat gewoon de markt op.

Dat je als White Hat hacker soms een beloning krijgt in plaats van de gevangenis in moet is leuk, maar dat is dus bijna altijd wel moraal juiste initiëring van de acties van die hacker en niet puur eigen gewin.
De onderzoekers zijn zonder toestemming van google, een systeem van google binnen gedrongen. Daarmee hebben ze al een strafbaar feit gepleegt.

Dat Google deze mensen een centje geeft, is een geluk voor de onderzoekers. Google had netzo goed aangifte kunnen doen, tegen de onderzoekers.

GeoBeo, heeft wel gelijk. Voor lekken in o.a. Google wordt op een andere markt vele malen meer geboden.
Je kunt het ook verkopen aan de NSA, krijg je vast meer geld. En is ook een 'legale' partij.
Ze zijn juist niet op zoek naar hack-bedrijven, maar naar de wizzkids die op hun zolderkamertje out of the box denken.
GeoBeo, deze vergelijking slaat kant nog wal. Jij vergelijkt het met illegale praktijken. Prima, dan kan je er nu voor kiezen om eerlijk te werken voor je geld en maandelijks een modaal inkomen binnen te harken, of je steekt je tijd in het overvallen van een bank en loopt met miljoenen weg.

Waarom zou je werken?

Oftewel, ik vind het juist een goede oplossing van Google om geld te bieden als anderen werk voor ze doen. Daar komt het m.i. op neer - google doet vast ook security audits, maar zoals de anderen al aankaarten is het onmogelijk om alles te vinden. Een beetje hulp van buitenaf is dan welkom!
Je eigen voorbeeld slaat ook kant noch wal. We hebben het hier over mensen die door de beveiliging van een computer systeem heen komen. Potentieel kunnen ze bij de gegevens van ALLE Google gebruikers (een enorm lek dus). Vervolgens hebben ze de keuze tussen 10k verdienen (legaal) of een paar miljoen verdienen (illegaal). Waarbij de kans heel klein is dat er een consequentie is voor hun illegale gedrag (doorverkopen van de hack en/of gegevens).

Dat is even wat anders dan je leven op het spel zetten in een gewapenden bank overval.

Als je het dan toch met een bank overval wilt vergelijken, dan zou dit eerder lijken op een situatie waarin deze hackers/overvallers alle sleutels en codes naar de kluis van een bank in handen hebben. Vervolgens kunnen ze de keuze maken tussen een melding bij de bank (10k EUR) of 's nachts de kluis binnen wandelen, zonder dat er ook maar 1 alarm af gaat en pakken wat ze dragen kunnen (miljoenen). Zelfs dat voorbeeld gaat niet helemaal op, want in het geval van de Google hack hoeven ze hun stoel niet eens uit om gigantisch rijk te worden...
Klopt. Ik reageer bewust op een hyperbool met een soortgelijke hyperbool. Punt is en blijft, je vergelijkt legale met illegale activiteit.

Daarnaast ben ik er niet zo zeker van dat de kans op consequenties zo veel kleiner is als ze een groot bedrijf als google hacken en met die gegevens gaan spelen. Je kunt er van uit gaan dat daar op gejaagd wordt.

Vervolgens is het al eens gezegd: het gaat hier om een bedrijf. Hoe help je je reputatie om zeep?

Tenslotte: misschien vind jij het normaal om gegevens te stelen en te proberen om er rijk mee te worden; ik niet. Ik vind de beloning van 10000 dollar dan ook juist erg genereus. Ik vergelijk het met tegen je buurman zeggen dat z'n voordeur nog open staat als hij boodschappen gaat doen - daar hoeft hij je toch ook niet voor te betalen?
Alweer zo'n mooie vergelijking :P Buurman irl v.s. een mega groot internet bedrijf in een ander continent aan de andere kant van de oceaan.

Ik snap je punt, natuurlijk is het niet "etisch" om gegevens te stelen. Maar het is naief om te denken dat er niet veel mensen zijn die een flinke verleiding zullen voelen...
Stukken beter in ieder geval dan bepaalde andere bedrijven die je doodleuk een rechtzaak aan je broek lappen...
Prestige is ook een belangrijke drijfveer. Als je een lek vind bij Google dan maak je meer naam dan je met 10.000 dollar kan kopen. Nieuwe opdrachten zullen nu binnenstromen bij het bedrijf.
Inderdaad een karige beloning, maar...

Misschien hebben deze onderzoekers wel de source-code van de google search engine buit gemaakt... dan valt er toch nog een hoop geld te verdienen :)
Waarom verwacht je dat niet snel?
Omdat ze met extreem veel privacy gevoelige data omgaan en dan dus verwacht dat dit soort dingen wel geregeld/onder controle zijn bij ze!
Tsja, Microsoft ook met Windows.
Het gaat hier om zo ontzettend veel code, dat nieuwe fouten altijd nog ontdekt worden.
Alleen microsoft met windows? Geen Apple met OSX / iOS?
Geen haat, gewoon een opmerking :)

[Reactie gewijzigd door emistery op 11 april 2014 15:57]

alle grote bedrijven.
Google is nog geen slachtoffer geweest van een enorme breach,
(afgezienvan gmail in China en de NSA maarja daar doe je niets tegen)
ze doen het dus nog best goed.
Google is nog geen slachtoffer geweest van een enorme breach,
Dat zou ik niet durven zeggen. Google denkt namelijk geen slachtoffer te zijn tot zij de enorme breach gevonden heeft. Wat nu dus ook mogelijk is.

Misschien is het veiliger er van uit te gaan dat er een enorme breach is en dat je goed oplet wat je met google producten doet (die trend kun je dan doortrekken naar alle grote bedrijven).
En kleine bedrijven. En dingen die je zelf maakt. *D
Daar heb je helemaal gelijk in, maar dat zei ik puur omdat microsoft ter vergelijking werd gebruikt :)
haha, mijn hele punt was dat het dus niet allen google was... Dus nee, ook niet alleen microsoft ;)
tja het blijven mensen die de code schrijven dus dit zal altijd wel blijven voor komen
Omdat ze met extreem veel privacy gevoelige data omgaan en dan dus verwacht dat dit soort dingen wel geregeld/onder controle zijn bij ze!
Te naïef gedacht m.i.

Juist bij zulk soort grote bedrijven is er een enorme complexiteit aan IT-systemen en is 100% veiligheid door niemand te garanderen. Ik geloof best dat Google veiligheid belangrijk vindt maar het is zeker te verwachten dat dit soort lekken gevonden blijven worden.

De beloning van 10K vind ik netjes, geen lachertje. In het kader van responsible disclosure worden in Nederland veel mindere beloningen uitgekeerd. Natuurlijk kan Google zich een tienvoud veroorloven maar laten we wel het perspectief een beetje overeind houden: het is een beloning, geen salaris.

[Reactie gewijzigd door Eagle Creek op 11 april 2014 17:26]

Voor amerikaanse begrippen best wel weinig. Vooral als je bedenkt dat je een ton bij Microsoft kunt verdienen voor een lek in Windows 8.1
Ik vermoed dat omdat dit een bug was die zich beperkte tot 1 server dat de beloning voor het melden 10k was. Hadden ze verder gezocht, met risico op vervolging als ze gedetecteerd worden voordat ze het melden, had de beloning misschien wel groter kunnen zijn als ze via die weg meer toegang hadden kunnen vergaren.
Heb je het nieuws gevolgd over de NZA ? Het feit dat een organistatie met privacygevoelige informatie omgaat wil voor geen meter zeggen dat zaken rond beveiliging onder controle zijn. Sterker nog. Het tegendeel blijkt keer op keer bevestigd te worden tot en met onze eigen overheid aan toe.
En Google is een bedrijf wat zelf ook de achterliggende techniek ontwikkeld. Het is niet een bedrijf die een paar standaard Apache servers heeft.
Maar wel slecht, de NSA kan dit soort lekken ook flink benutten..
As always, beveiligingen van miljoenen, worden omzeilt met oplossingen van enkele euro's....
Wajow, elk bedrijf heeft dat. En Google ook, de kans is daar alleen maar groter..
Ik blijf het vreemd vinden dat beveiligingsbedrijven, hackers, of eender hoe je het wil noemen, zelfs maar beloond worden wanneer ze op de server van derden inbreken. Ik wil nog aannemen dat zo'n bedrijf (of individu) het ongemoeid laat, indien het op een nette manier is afgehandeld. Dat ze daarvoor beloond worden gaat mijn petje echt wel te boven.
Het is niet meer dan logisch. Als een derde partij een lek in jouw software vindt en dit netjes meldt, dan ben je daar toch ontzettend blij mee? Beter zo, dan dat allerhande gegevens op straat liggen; omdat het kan...
En juist omdat mensen beloond worden om lekken te vinden (en de data ongemoeid te laten), zorgt ervoor dat apps alleen maar veiliger wordt.
Ja, die redenering begrijp ik, en net die redenering vind ik zo vreemd. Fijn, nu gaat het goed en gaat het misschien wel om een bedrijf dat géén misbruik maak van bepaalde lekken. Maar dat derden op zo een destructieve manier met je code en servers omgaan lijkt me bovenop hun intentie iets wat je eerst en vooral wil vermijden, laat staan belonen. Ik zou absoluut niet blij zijn als derden een beveiligingslek vinden in mijn software (of gebouw, of alarmsysteem, of computer).

Dat laatste is ook maar een aanname. Wanneer derden in staat zijn om ongemerkt lekken te vinden en gebruiken, kan je ervan uit gaan dat ze ook ongemerkt aan je data kunnen komen. Over het feit of ze hun volledige bevinden melden, of slechts een gedeelte ervan, heeft niemand (behalve de hackers of het beveiligingsbedrijf) enige controle.
Je beloont iedereen die een lek aanwijst, zodat je deze lekken kunt dichten, zodat je er daarna niemand anders meer voor hoeft te belonen (of vervolgen).

Als jij kritische feedback levert op mijn afstudeerrapport bedank ik je uit het diepst van mijn hart (ik heb geen 10,000 euro), zodat ik het kan verbeteren, zodat iemand anders er niet nog een keer over hoeft te struikelen (of ik een onvoldoende krijg).

Het is dus meer een beloning voor het aanwijzen van verbeterpunten dan dat het een beloning is voor het feit dat je m'n website/afstudeerrapport aan het lekschieten bent.
ok, met je vergelijking ben ik het wel eens op heel veel punten, behalve dat ik eigenlijk geen beloning verwacht wanneer ik als een dief in de nacht je studeerkamer op ben geslopen om je scriptie te verbeteren. Blijkbaar ben ik raar, maar mij lijkt het eerder dat ik eerst toestemming van je zou krijgen om je scriptie te lezen of in je papieren te duiken. ;)
Het is overbekend dat Google beloningen geeft voor het vinden en melden van lekker in hun software of services. Dat is niets minder dan zeggen 'probeer maar lekken te prikken in onze spullen, als het je lukt belonen we je.'
ik denk dat je het beter zo kunt zien: jij bent op vakantie en gaat ervan uit dat je je huis goed hebt afgesloten, maar na een tijdje belt de buurman dat toen hij uit sociale controle keek of er niets bij je huis aan de hand was (inbrekers/vandalen), zag hij dat de achterdeur nog op een kier stond. Jij kon er toen voor zorgen dat die deur alsnog word afgesloten en omdat de buurman heeft voorkomen dat inbrekers zo konden binnen lopen, geef je hem als dank een doosje merci.

hopelijk is het nu duidelijk, maar ik begrijp dat jij het appart vond dat zo'n bedrijf rondsnuffelt op zo'n manier.
Je snapt het misschien niet helemaal. Het hele idee van een 'lek' is dat je ergens binnen kunt komen terwijl de eigenaar dat niet wil. Je kunt niet tegenhouden dat er scripts tegen je websites worden ingezet, je kunt je er alleen tegen beveiligen...

Het loont niet om de moraalridder uit te hangen; beter werkt het om de financiële prikkel in je voordeel aan te wenden. Anders loop je het risico dat je van nòg minder beveiligingslekken op de hoogte wordt gebracht, wat (afhankelijk van de grootte en aard van het bedrijf) op termijn wel eens duurder zou kunnen zijn dan het betalen van hen die een lek melden.

Het spreekt natuurlijk voor zich dat je die melders niet meteen om de hals vliegt, maar als er genoeg geld tegenover staat is het waarschijnlijk dat iemand die één lek meldt, al zijn lekken meldt (al of niet met tussenpozen).
Dat is gewoon gezond beleid bij een bedrijf als Google. De mogelijke imagoschade en eventuele boetes die voortvloeien uit een serieus lek loopt makkelijk in de honderden miljoenen.

10.000 dollar is de vergoeding voor een maand werk van een professional. In plaats van 1 persoon die 50 miljoen regels code doorneemt in de hoop een lek te vinden kun je op deze manier voor hetzelfde geld gegarandeerd 12 kritieke lekken dichten in je netwerk en er nog positieve publiciteit uitslepen ook.

Bovendien stimuleer je een positieve interesse in beveiligingswerk en krijg je inzicht in de methoden die anderen (mogelijk minder vriendelijke) mensen gebruiken om systemen aan te vallen. En dat allemaal voor 0,00001% van de nettowinst.
Wat is dan de positieve publiciteit?
Je hebt de originele post toch gelezen ;) ?

"Het lieve Google beloond aardige mensen die zo vriendelijk zijn aan te geven dat hun beveiliging niet helemaal op orde is. Google vind mensen en hun beveiliging blijkbaar belangrijk, mijn data is blijkbaar veilig bij Google, want ze nemen klachten over beveiliging serieus..."
Ik heb de openingspost gelezen, hoor. En wat ik eruit haal, is dat onbekende bij Google kunnen 'inbreken' en er dan ook nog voor betaald worden. Zowel ik als Tweakers als Google kunnen toch met geen zekerheid zeggen of dat beveiligingsbedrijf over hun hele speurtocht open kaart hebben gespeeld, of enkel over een gedeelte van hun bevindingen. Naja, wie weet kan jij dat wel en zou ik jou moeten geloven, maar het geeft in elk geval aan waarom *ik* totaal geen goed gevoel heb bij dit soort acties van derden.

In elk geval, ik zou het in mijn geval ook niet appreciëren wanneer eender wie mijn huis of mijn software ongevraagd op beveiliging zou komen testen.
Anders worden ze ook wel betaald hoor, maar dan door wat minder frisse figuren. Trouwens beveiligingsonderzoek is toch ook werk, waarom zou dat gratis moeten zijn?
Omdat dit soort beveiligingsonderzoek niet in opdracht van Google is gebeurd. Wanneer het in opdracht is gevoerd van die beveiligingsfirma, moet die firma haar onderzoekers betalen. Tussen Google en dat bedrijf was er helemaal geen overeenkomst, dus is er helemaal geen verplichting tot betaling.
Daarom is het ook een vrijwillige gift als bedankje, met zoals dat overblijfkrachten een bloemetje en een doos Merci ontvangen aan het einde van het jaar. Het is geen loon.
Moeten ze dan maar gratis werken? Is heel normaal dit hoor, dat noemt men Responsible Disclosure... En daar krijg je netjes voor betaald. Alle tech giganten hebben dat, facebook ook bijvoorbeeld.

Dit is ook gedaan omdat beveiligingsfirmas niet altijd alles vinden en niet iedereen aannemen. Als jij een groot gat vindt en ze zegt hoe je t kan exploiten zonder ermee naar de media te gaan of te kutten, dan wordt je netjes betaald. En zo hoort het ook!
Wat jammer dat ze niet wat verder zijn gaan graven. Gezien de laatste nieuwsberichten lijkt het mij meer dan interessant om te kijken wat Google werkelijk uitspookt.
Echter ben je dan extra strafbaar bezig, als je het netjes meldt zoals deze mensen krijg je er nog geld voor, als je doorgraaft zou een pittige straf me weinig verbazen. Wellicht als je dit soort lekjes opspoort en een lief briefje naar Google schrijft willen ze je wel een rondleiding geven ;)
Dat is maar net hoe je er tegenaan kijkt. Het bedrijf zal je haten, maar het volk is je mogelijk eeuwig dankbaar.
-- Google is in dezen wel de uitzondering, uiteraard. ;)

[Reactie gewijzigd door vpm op 11 april 2014 15:56]

Je bedoelt als je alle info publiek gooit? Ja dan gaat het bedrijf niet blij zijn... Duh. Als ik vind dat jouw prive-leven heel interessant is en ik ga met een camera achter je aanrennen word je ook niet blij.

Verder denk ik dat je dan vlotjes achter tralies gaat wegens computervredebreuk (Amerikanen zijn daar goed in, 5 jaar cel is niks), dus wat schiet je ermee op? Over 5 jaar is je kennis totaal verouderd.

Verder ben ik je niet bepaald dankbaar als jij even bij Google inbreekt hoor. Het zal best lollig zijn maar om nou te zeggen schitterend?

offtopic:
Velen meenden dat het volk ze ergens eeuwig dankbaar voor waren, en maakten toen de grootste blunders... Don't be the next
Je verdraait mijn woorden. Google is geen lieverdje mbt onze gegevens/privacy. Als ze tijdens dit onderzoek nu "toevallig" stuitten op bijv. spionagedocumenten, propaganda, you name it...
En dit is een beveiligingsbedrijf die het netjes meldt bij Google.
Maar als zij binnen kunnen komen dan kun je erop vertrouwen dat andere partijen die iets minder te vertrouwen zijn dat ook kunnen.
Daar hebben mensen dus bakken met data staan.

Gaat in dat opzicht natuurlijk niet alleen om Google, maar om alle grote partijen.
Doel heiligt de middelen zeker?
Als je zo bekijkt ja dan ben ik het met je opmerking eens. Dan was het beter als ze van tevoren bij Google hadden aangekondigd dat ze deze actie gingen ondernemen.
Maar ik kan me voorstellen dat als iedereen dat van tevoren meldt ze wel eens knettergek kunnen worden van al die meldingen
Nette beloning van Google.

Daar kan MIcrosoft nog wat van leren... nieuws: Vijfjarige jongen omzeilt eenvoudig wachtwoord Xbox Live-account
Nou ja, zie het eens in perspectief. Waarschijnlijk is die jongen blijer dan de mensen van het beveiligings bedrijf.
Dat bleek overigens geen hack te zijn en zou enkel tijdelijk toegang opleveren tot de X-Box, en dan nog zeer beperkt (geen mogelijkheden tot aankopen als ik me goed herinner)...

Dat laatste was helemaal niet mogelijk. Het gaat namelijk alleen om het toegang krijgen tot een account wat al gekoppeld is aan de xbox. Het is ook helemaal geen hack van het account, maar het omzeilen van de parental control op de xbox. De jongen was al ingelogd en aan het spelen onder zijn vaders account.
http://tweakers.net/gallery/8940

[Reactie gewijzigd door Tukkertje-RaH op 11 april 2014 15:47]

Gaat hier om een lek en dat is even goed in lek in hun systeem
Ja, om stiekem 12+ spelletjes te spelen, niet om potentieel toegang te krijgen tot privé data van vele mensen. En daarbij kreeg hij gewoon 4 spelletjes en een Xbox Live account. Iedereen die dan gaat zeuren dat Microsoft meer moet geven is zwaar verwend. Een gegeven paard in de bek kijken heet dat ook wel.
Inderdaad. Laten we zeiken over Microsoft.

http://www.engadget.com/2...-for-windows-8-1-exploit/

Oh oops... Dan is die 10.000 nogal gierig :)
Waarom staat er een copyright van 2008? oude foto of?
Het is een oude, niet meer gebruikte pagina.
verouderd stuk van de zoekmachine
Oude versie van Google :)
Ik vind een beloning van 7200 euro dus echt 3x niks. Dit is groot beveiligingslek en iemand is zo vriendelijk om dit te melden in plaats van te verkopen of te misbruiken en dan krijg je er peanuts voor terug. (Beetje gierig Google)
Tja bij een beveiligingsbedrijf kan ik me niet snel voorstellen dat ze het gaan verkopen, zeker niet als ze trots kunnen roepen (de media aandacht gaat ze meer opleveren dan 7200 euro) dat ze een fout bij z'n groot bedrijf hebben kunnen vinden EN dat ze kunnen laten zien dat het een eerlijk bedrijf is, wat als beveiligingsbedrijf toch wel in je voordeel werkt :P
Hoe verdient zo'n beveiligingsbedrijf eigenlijk hun geld? Of is het een soort VZW?
https://detectify.com

Ze worden ingehuurd om lekken te vinden.
Bovendien zullen ze zelf ook veel "experimenteren, om extra in het nieuws te komen, zoals deze keer.

Zitten overigens zo te zien een paar hele jonge gasten in hun team.
Die zullen binnenkort wel door Google (of aanverwanten) overgenomen kunnen worden.

[Reactie gewijzigd door HMC op 11 april 2014 16:05]

Ze bieden aan je netwerk te testen. En het is voor hen prettig een aantal kwetsbaarheden op zak te hebben die handig zijn om ook daadwerkelijk gaten in het netwerk van de klant te schieten. Zodat ze resultaat hebben.
Dit is natuurlijk ook leuke reclame voor detectify, die ze niet zouden hebben als ze het lek op de zwarte markt zouden verkopen of zelf misbruiken.
Hoezo? De meeste bedrijven geven helemaal geen geldsom noch duizenden euro's. Het is netjes van dat bedrijf dat ze het meldden en Google beloont dat met een naar mijn mening groot bedrag.

Verder is het inderdaad een kritisch lek dat er gevonden is, maar 10.000 dollar lijkt me een goede beloning. Wat stel jij je voor als je als hackertje ergens tegen aanloopt? 30% van de aandelen? Overigens is dit ook aantrekkelijker voor hackers dan het kwaadwillend te gebruiken, misschien vertel je het aan iemand die je later meldt bij de politie en dergelijke.
[quote]
Ik vind een beloning van 7200 euro dus echt 3x niks.
/quote]
Het is echter 3x 2400 euro.

Veel is het overigens niet maar wat een redelijke beloning is, is toch echt voor iedereen verschillend.
Verzilver de gwonnen naamsbekendheid dan maar.
Ik had wel verwacht dat de webserver in een jail zou draaien, valt me tegen.
En hoe helpt dat hiertegen?
Met een Jail kan je alleen data binnen de applicatie , in dit geval de webserver, uitlezen.
Maar daarmee zouden zaken als locale wachtwoorden uit de handen van kwaadwillenden blijven.
Misschien moet je het aan google melden, die hebben vast wel tips nodig als het gaat om server beheer
Dat zullen ze bij google vast wel beter weten, maar dit lijkt me voor een bedrijf dat zo'n groot doelwit is een standaard praktijk om uniform hun servers dicht te timmeren.
Imo kan je dat veel beter en netter oplossen met selinux. Jails (als in chroot jail) zijn niet zo eenvoudig om te beheren terwijl je daar met selinux weinig tot geen last van hebt.
Kan iemand toelichten waar precies in de blogpost staat dat er toegang tot wachtwoorden verkregen is?
Volgens het artikel hebben de onderzoekers 'slechts' toegang tot /etc/passwd en /etc/hosts verkregen.
Deze files zijn world readable en bevatten geen passwords.

/etc/shadow daarentegen bevat wel passwords, maar deze file is dan ook niet world readable, waardoor de webserver daar niet bij kan...

Al met al lijkt het er dus op dat wachtwoorden nooit toegankelijk geweest zijn voor deze onderzoekers.
Ze geven ook aan dat dit hun eerste stap was en ze daar ook gestopt zijn en het hebben door gegeven aan Google. Ze hadden verder kunnen gaan maar hebben dit expres niet gedaan.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True