De Nederlandse beveiligingsonderzoeker Wouter ter Maat heeft voor het rapporteren van vier kwetsbaarheden in Google Cloud Shell 100.000 dollar van Google gekregen. De Cloud Shell biedt commandlinetoegang tot cloud resources, direct vanuit de browser.

Het is een shellomgeving waarmee er toegang tot allerlei onderdelen van het Google Cloud Platform kan worden gekregen, zoals gcloud, Docker, Kubernetes, Python, vim en Emacs. De shellomgeving is met name voor beheerders en ontwikkelaars bedoeld om hun projecten en resources te beheren, zonder dat ze allerlei andere tools hoeven te installeren.

Ter Maat ontdekte dat het mogelijk was om roottoegang op de betreffende host te krijgen en aanwezige containers aan te passen. Via de kwetsbaarheden had een aanvaller de Cloud Shell van andere gebruikers kunnen compromitteren en toegang tot hun Google Cloud Platform resources kunnen krijgen. Ter Maat waarschuwde Google waarna de kwetsbaarheden werden verholpen. Details publiceerde de onderzoeker afgelopen december al.

Google heeft nu bekendgemaakt dat de Nederlandse onderzoeker de Google Cloud Platform (GCP) Vulnerability Reward Program (VRP) prijs heeft gewonnen. De prijs van 100.000 dollar is voor de onderzoeker die het grootste beveiligingslek in het platform weet te vinden. Afgelopen jaar was dat Ter Maat. Voor dit jaar heeft Google het prijzengeld voor de beste inzending naar 133.337 dollar verhoogd, alsmede geldbedragen voor nummers twee tot en met zes beschikbaar gemaakt.