일반적으로 비공개 직원 전용 구글 서비스에 연결하기 위해서는 MOMA를 통해 로그인 해야한다. 그러나 이러한 모든 서비스들이 방문자가 콘텐츠에 접근할 권한이 있는지 완전히 검사하는 것은 아닌 것으로 밝혀졌다. www.appspot.com과 같은 구글의 공개 서비스에 연결하고 HTTP 요청의 호스트 헤더를 yaqs.googleplex.com으로 변경하면, Pereira는 구글의 내부 프로젝트 관리 시스템인 YAQS에 리디렉션되었다. 해당 시스템을 보려면 MOMA 로그인이 필요했지만 ‘구글 기밀’이라고 표시된 YAQS 페이지를 볼 수 있었다.
Pereira는 7월 11일에 구글에 해당 취약점을 신고했고 8월 4일에 패치되어, 1만달러의 보상을 받았다. 이전에 구글에 취약점을 보고해서 수천달러를 보상받았던 Pereira는 해당 보상 금액을 보고 놀랐고, “나는 그것이 단순한 버그인줄 알았고, 이정도로 큰 금액의 보상이 있을 줄 몰랐다”고 말했다. 2년전 Pereira는 샌프란시스코 여행과 캘리포니아 GooglePlex 여행에서 구글의 Code-in 프로그래밍 대회에서 우승했었다.
그는 구글 앱 엔진을 통해 내부 서비스를 파고드는 과정에서 많은 시도를 했다. 그는 “서버가 404 에러를 반환하거나, 일반 구글 계정 대신 구글 직원 계정을 사용했는지 확인하는 것과 같은 보안 조치가 있었기 때문에 대부분의 시도가 실패했다. 그러나 시도한 웹 사이트 중 하나인 yaqs.googleplex.com은 내 사용자 이름을 확인하지 않았다. 해당 홈페이지는 /eng로 리디렉션되었고, 구글 서비스와 인프라에 대한 다른 섹션들로 연결됐다. 그리고 어느 섹션을 방문하던지 나는 ‘구글 기밀’이라는 내용을 읽었다”고 언급했다.
Pereira는 그것을 보았을때 심각한 이슈라고 생각지는 않았지만, 이에 대해 알리기 위해 버그 리포트를 작성했다. 이후 구글로부터 감사 응답을 받았고 한달 후에는 보상금에 대한 메일을 받았다. 구글 연구원들이 해당 취약점이 실제로 기밀 데이터에 접근하는데 사용될 수 있다는 것을 발견한 것으로 보인다.
★정보보안 대표 미디어 데일리시큐!★