image

Lek geeft onderzoeker toegang tot interne Google-bugdatabase

maandag 30 oktober 2017, 16:28 door Redactie, 8 reacties

Een database waarin Google allerlei gevoelige informatie over bugs en ongepatchte kwetsbaarheden opslaat was zelf kwetsbaar waardoor een onderzoeker hier toegang toe wist te krijgen. Dat laat onderzoeker Alex Birsan via een artikel op Medium weten.

Birsan ontdekte verschillende kwetsbaarheden in de Google Issue Tracker. Dit is een intern systeem waarmee Google bugs en featureverzoeken tijdens de productontwikkeling bijhoudt. Het is beschikbaar voor gebruik buiten Google voor personen en partners die op bepaalde projecten met Google samenwerken. Het grootste gedeelte van het systeem is echter afgeschermd voor externe gebruikers. Zo zijn rapporten over nog niet gepatchte kwetsbaarheden in de diensten van Google alleen voor Google-medewerkers toegankelijk.

Birsan ontdekte echter drie problemen waardoor hij deze beperkingen kon omzeilen en toegang tot de afgeschermde bugmeldingen kon krijgen. Ook ontdekte hij een manier om alle data van meerdere bugmeldingen via één enkel verzoek op te vragen, zodat Google dit niet zou opmerken. Na ontdekking van de kwetsbaarheden waarschuwde Birsan Google en een uur later was het systeem uit de lucht gehaald. De onderzoeker ontving voor zijn bugmelding een beloning van 7500 dollar. Voor zover bekend is er geen misbruik van de kwetsbaarheden gemaakt.

Onlangs meldde persbureau Reuters op basis van voormalige medewerkers van Microsoft dat aanvallers vier jaar geleden toegang tot een interne bugdatabase van Microsoft hadden gekregen. Na ontdekking van de hack besloot Microsoft aanvallen op andere organisaties te onderzoeken. Er zou daarbij geen bewijs zijn gevonden dat de gestolen informatie bij deze aanvallen was gebruikt, aldus de ex-medewerkers. Microsoft heeft zichzelf nooit over het vermeende incident uitgelaten. In 2015 maakte Mozilla bekend dat een aanvaller toegang tot de interne bugdatabase 'Bugzilla' had verkregen en tenminste één ongepatchte kwetsbaarheid had gebruikt om Firefox-gebruikers aan te vallen.

Reacties (8)
30-10-2017, 17:02 door Anoniem
wat een contrast van aanpak met

https://www.reuters.com/article/us-microsoft-cyber-insight/exclusive-microsoft-responded-quietly-after-detecting-secret-database-hack-in-2013-idUSKBN1CM0D0
30-10-2017, 18:37 door karma4 - Bijgewerkt: 31-10-2017, 06:02
Door Anoniem: wat een contrast van aanpak met

https://www.reuters.com/article/us-microsoft-cyber-insight/exclusive-microsoft-responded-quietly-after-detecting-secret-database-hack-in-2013-idUSKBN1CM0D0
Bedoel je dat Google die bugs database opzettelijk openbaar heeft laten staan omdat het met oss zo hoort?
https://www.security.nl/posting/537185/Oracle+waarschuwt+voor+zeer+ernstig+lek+in+Identity+Manager
31-10-2017, 07:49 door [Account Verwijderd] - Bijgewerkt: 31-10-2017, 08:14
[Verwijderd]
31-10-2017, 10:55 door Anoniem
Nee, er wordt bedoeld dat Google reageert door het systeem een uur na melding van de onderzoeker uit de lucht te halen en dat Microsoft bij een vergelijkbaar voorval alles stil probeerde te houden.

Google zoekt niet de media, de onderzoeker zoekt de media. Het feit dat een onderzoeker zijn bevindingen snel naar buiten brengt, en dat het incident niet is stilgehouden, is niet een verdienste van Google.

Microsoft demonstreert achterbaks, onverantwoordelijk gedrag, waarbij ze haar eigen belangen laat prevaleren boven die van de gebruiker.

Met andere woorden, Microsoft is (net als Google) een onderneming met zakelijke belangen. En laat veelal (net als Google en ieder ander bedrijf) haar eigen belangen prevaleren. What else is new, een bedrijf dat jouw belang voorop stelt, moet nog geboren worden.
31-10-2017, 11:20 door Anoniem
@Neb Poorten,

Je vergelijkt beide situaties, maar dan moet je wel de verschillen ook meenemen in je redenatie.

Bij Google was de situatie dat een externe onderzoeker het probleem aan het licht bracht en die alle details met hen deelde, waardoor Google gelijk de betreffende dienst online kon halen en het probleem kon gaan verhelpen.

Bij Microsoft was de situatie dat het probleem door eigen medewerkers werd ontdekt, wat betekend dat er geen details voor het bedrijf waren over wie de aanvallers waren en hoe ze te werk zijn gegaan. Ik kon niet vinden dat Microsoft door bleef gaan met de allerergste kwetsbaarheden in de eigen software via deze dienst aan te bieden, wat de mogelijkheid openhoud dat ze de dienst na melding in de gaten hebben gehouden. Dit in de gaten houden kan informatie opleveren over wie de aanvallers waren en hoe ze te werk gaan, wat zeer waardevolle informatie is. En ja, deze redenatie is gebaseerd op de aanname dat er rekening is gehouden met toegang van derde tot de dienst en dat de impact van deze toegang daarna is geminimaliseerd, maar nog wel zodanig nuttig voor verder onderzoek.

Daarnaast heeft Microsoft geen eigen belang bij het ontstaan van toegang van derden tot hun interne diensten, ik ben benieuwd wat je als hun eigen belang in deze situatie beschouwt. Ik zie namelijk mogelijke reputatie schade en schade bij hun klanten, beide gevallen zou ik als bedrijf-zijnde niet in mijn voordeel zien werken.
31-10-2017, 11:32 door [Account Verwijderd] - Bijgewerkt: 31-10-2017, 11:33
[Verwijderd]
31-10-2017, 13:12 door Anoniem
Door Neb Poorten:
Door Anoniem:
Nee, er wordt bedoeld dat Google reageert door het systeem een uur na melding van de onderzoeker uit de lucht te halen en dat Microsoft bij een vergelijkbaar voorval alles stil probeerde te houden.

Google zoekt niet de media, de onderzoeker zoekt de media. Het feit dat een onderzoeker zijn bevindingen snel naar buiten brengt, en dat het incident niet is stilgehouden, is niet een verdienste van Google.

Je leest niet goed. Het gaat om de onmiddellijke en goede reactie van Google op de bevindingen van een onderzoeker.

ja, en als al eerder aangetoond, in *die* gevallen waarbij het mooi uitkomt, laat Google graag voorkomen dat het lijkt alsof ze zo snel en open reageren. In alle gevallen waarbij de fix/aanpassing lastig is/veel tijd kost, houden ze het liever even stil, net als elk andere verstandige onderneming. Marketing, marketing, marketing.
01-11-2017, 15:56 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.