「Google Buganizerシステムをいじって15600ドルのバグ報奨金」

medium.freecodecamp.org

「Googleのバグトラッカーに脆弱性データベースの内容が漏洩する不具合」

www.bleepingcomputer.com

先日、Microsoftがバグ管理データベースに侵入されていたことが判明しました。

mokake.hatenablog.com

今回はGoogleのバグトラッカーであるBuganizerのバグが発見された、という話です。

ルーマニアのバグハンターであるAlex Birsan氏が、Buganizerに次の3点のバグがあり、本来権限のない者にも同社製品のバグ情報が伝わる可能性があると指摘しました。

• "@google.com"ドメインのアドレスをBuganizerに勝手に登録できてしまう件
• 本来アクセス権限をもたないはずのバグについて通知を受信する設定ができてしまう件（ただし発見者の方法では制約が大）
• BuganizerのAPIを使って、全てのバグ情報にアクセスする権限を取得できてしまう件

最初のものは分かりづらいのですが、Buganizerにバグ報告をすると、その件のための追跡用アドレス「buganizer-system+カテゴリーID+不具合案件ID@google.com」が受信できるようになるらしく、それをBuganizerシステムのユーザとして登録できてしまう、というもののようです。これ自体は、ログインはできないのですが、他のGoogleの社員向けサービスが使える可能性が生じるようです。

Googleは通知を受けてすぐに反応、短時間で修正すると共に、Birsan氏にそれぞれ3133.7 , 5000, 7500ドルの報奨金を出しました（本当にどうでもいいことですが、エリート(eleet)が一番安いんですね）。