Beveiligingsonderzoeker Michele Spagnuolo heeft mooi kunnen profiteren van de nieuwe bedragen die Google uitlooft voor beveiligingslekken die in de webdiensten van de zoekgigant worden gevonden. Google begon in eerste instantie met alleen het belonen van meldingen over lekken in applicaties zoals Google Chrome. Eind 2010 werd ook een beloningsprogramma voor webapplicaties gelanceerd.

Onderzoekers die kwetsbaarheden ontdekken en dit op verantwoorde wijze rapporteren krijgen een financiële beloning. Op 11 juli van dit jaar ontdekte Spagnuolo een Cross-Site Scripting (XSS)-kwetsbaarheid op het Google.com hoofddomein, waarbij geen interactie van gebruikers was vereist.

Google Finance
Via XSS is het mogelijk om bijvoorbeeld cookies van gebruikers te stelen, waardoor een aanvaller op een account kan inloggen. Het probleem op het Google-domein werd veroorzaakt door een fout in Google Finance, dat op google.com/finance wordt gehost.

Google Finance biedt headlines van bedrijven, alsmede nieuws over financiële beslissingen en grote gebeurtenissen. Ook verschijnen er beurskoersen en aandelengrafieken op de pagina.

Beloning
De onderzoeker ontdekte een manier om de JavaScript-applicatie voor het maken van grafieken te misleiden en zo XSS uit te voeren. Hij waarschuwde Google, dat het probleem binnen een paar dagen had verholpen. Oorspronkelijk beloonde Google dit soort meldingen met 1337 dollar.

Sinds juni is de hoogte van de beloningen aangepast, waardoor Spagnuolo 5.000 dollar op zijn rekening kreeg bijgeschreven. Details van het lek heeft hij nu gepubliceerd.