乌拉圭高中生意外发现Google漏洞赚到1万美元抓漏奖金

示意图，与新闻事件无关。

Google

一名乌拉圭的高中生Ezequiel Pereira因为无聊而发现了一个Google漏洞，在上周获得Google颁发1万美元（约30.5万元新台币）抓漏奖金。

Pereira说，他是在今年7月11日时，因为感到无聊，于是便开始寻找Google漏洞。他利用专门用来测试网页安全的Burp Suite工具来抓漏，方法是持续改变传送给App Engine请求的主机标头，以存取某些App Engine的内部应用。

由于这些内部应用通常需要凭证才能登入，因此Pereira的多数尝试都是失败的，不是出现404 Not Found就是被安全机制挡下，但最后却让他找到了一个没有检查使用者名称，也未设立任何安全机制的yaqs.googleplex.com。

当Pereira造访yaqs.googleplex.com时被导至另一个网页，该网页被标注为Google机密（Google Confidential），含有许多与Google服务或架构相关的连结。

Pereira并未选择继续深究，而是马上向Google回报，几小时后便收到Google的确认信件。当时Pereira以为这只是件小事，并没将它放在心上，没想到8月4日再度收到Google邮件，宣称他获得了1万美元的抓漏奖金，他回信请Google确认奖项，Google则在本周三（8/9）回覆以证实此事，还说漏洞已经修补了。

目前还是高中生的Pereira说他未来的目标是成为一名安全研究人员。