Een 18-jarige student uit Uruguay heeft van Google ruim 36.000 dollar gekregen voor een ernstig beveiligingslek in de Google App Engine waardoor het mogelijk was om op afstand code uit te voeren. De Google App Engine is een platform dat ontwikkelaars applicaties op de infrastructuur van Google laat ontwikkelen en draaien.

De applicaties van ontwikkelaars bevinden zich in een eigen sandbox en draaien op meerdere servers. Afhankelijk van de vraag maakt de App Engine automatisch meer middelen voor een applicatie vrij. Student Ezequiel Pereira ontdekte dat appengine.google.com zelf ook op de Google App Engine draait en een aantal dingen kan doen die applicaties van andere ontwikkelaars niet kunnen.

Hiervoor wordt gebruik gemaakt van een programmeerinterface (API) die alleen voor applicaties van Google toegankelijk is. Pereira vond echter een manier waardoor ook hij toegang tot de afgeschermde API's en omgeving van de Google App Engine wist te krijgen. De student waarschuwde Google en kreeg een bericht terug waarin hem werd gevraagd om zijn onderzoek te staken, aangezien het "eenvoudig" iets kon beschadigen dat van deze interne API's gebruikmaakt.

Pereira stuurde zijn eerste bugmelding op 25 februari, gevolgd door een tweede bugmelding op 5 maart. In de week daarna blokkeerde Google toegang tot de interne Google App Engine-omgeving en kende de student een beloning van 36.337 dollar toe. De internetgigant betaalt onderzoekers 31.337 dollar voor kwetsbaarheden waardoor een aanvaller op afstand code op de systemen van Google kan uitvoeren. Daarnaast ontving Pereira 5.000 dollar voor een minder ernstig lek dat hij voor zijn aanval gebruikte.