Google заплатила $10 тыс. эксперту, 2 раза нашедшему уязвимость в ее картах

Google выплатила 10 тысяч долларов эксперту по кибербезопасности, который нашёл XSS-уязвимость в Google Maps, 10 сентября сообщает издание CNews.

Ошибка позволяла пользователям Google Maps создавать собственные карты, которые затем можно экспортировать в разные форматы.

Чтобы воспользоваться уязвимостью, хакеру нужно было создать новую карту в Google Maps, в название ввести вредоносный XML-код, открыть к ней общий доступ, экспортировать в Keyhole Markup Language и послать ссылку ни о чем не подозревающему пользователю. Когда он открыл ее, в браузере активировался бы вредоносный код.

Когда исследователь по имени Шачар нашел уязвимость, Google выплатила ему $5 тысяч. Однако после исправления компанией ошибки, эксперт нашел способ обойти уже исправленный вариант. После этого Google снова заплатил ему той же суммой.

«Перепроверка действительно окупается, причём для всех вовлечённых сторон, — говорит Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. — И дело не только в выплатах, но и в „работе над ошибками“, которую вендоры не всегда проводят качественно».

Кирюхин добавил, что люди, специализирующиеся на кибербезопасности часто, но не всегда проводят проверки исправлений. Такие проверки должны быт штатной процедурой, заключил эксперт.