Esta es una muestra más de la importancia de la labor de los hackers éticos y las plataformas de reporte de vulnerabilidades. Wouter ter Maat, especialista en seguridad en la nube, fue recompensado por Google gracias a su reporte sobre una vulnerabilidad crítica en Google Cloud Platform (GCP).
El programa de recompensas por vulnerabilidades en GCP fue creado en 2019, en un intento de la compañía por incentivar el trabajo de investigación sobre su plataforma de cómputo en la nube, ofreciendo recompensas de hasta 100 mil dólares por reportes de seguridad críticos.
Recientemente Google reveló que se recibieron decenas de reportes de consideración, aunque entre todos destaca el enviado por ter Maat, que recibió el primer lugar. El investigador, de origen neerlandés, se centró en la presencia de cuatro fallas de seguridad en Google Cloud Shell; una de estas fallas abusaba de la función “Open In Cloud Shell”, lo que permitiría la clonación de repositorios alojados en GitHub o Bitbucket.
El experto en seguridad en la nube demostró cómo una imagen maliciosa de Cloud Shell especialmente diseñada puede usarse para obtener acceso no autorizado a los recursos de GCP. Posteriormente, ter Maat detalló la forma en que una vulnerabilidad en la lógica de comprobación de ruta del cliente Mercurial/HG permitiría a un actor de amenazas escribir archivos fuera de los límites del repositorio: “Si puede comprometer u obtener acceso al Cloud Shell de otro usuario, es posible acceder a todos los recursos del objetivo”, menciona el investigador.
Google reconoció la validez y seriedad del reporte, por lo que otorgó a ter Maat el premio de 100 mil dólares: “Google me contactó a inicios de febrero para hacerme saber que mi investigación era una de las tres principales contendientes para recibir la recompensa; dos semanas después recibí la noticia de que yo era el ganador”, declaró emocionado el experto en seguridad en la nube.
Al respecto, ter Maat asegura que esto es un incentivo para seguir verificando la seguridad en las implementaciones de Google y otras compañías tecnológicas. El programa de recompensas para GCP 2020 incrementará los premios, ofreciendo al ganador hasta 130 mil dólares.
El Instituto Internacional de Seguridad Cibernética (IICS) destaca la importancia de los programas de recompensa por vulnerabilidades, que nutren el trabajo de la comunidad de la ciberseguridad, al tiempo que ofrecen incentivos competitivos para evitar que los exploits lleguen al mercado negro del hacking.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad