Google Issue Tracker permettait d'accéder à des vulnérabilités critiques
jeu, 02/11/2017 - 16:27
Issue Tracker est un outil développé par Google pour un usage interne mais qui peut être utilisé par des utilisateur externes, partenaires ou publics. Issue Tracker comme le nom l'indique permet le suivi des bugs dans les produits Google. Autant dire qu'il faut que cet outil soit fiable afin que n'importe qui ne puisse pas accéder à des informations sensibles.
Mais fiable il ne l'était pas. Le chercher Alex Birsan explique en détails dans un billet de blog comme il était possible d'outrepasser des limitations de privilèges, via une requête POST bien sentie, afin d'accéder au jackpot, c'est-à-dire les vulnérabilités critiques au sein des produits Google. Le genre d'informations avec lesquelles les cybercriminels peuvent faire des ravages.
Google a récompensé Alex Birsan par une prime de 15 600 dollars pour ses découvertes.
Mais Issue Tracker est-il parfaitement sûr maintenant ? Telle est la question :-)