Хакер пытался три недели связаться с Google, которая по ошибке выплатила ему $250 тыс., чтобы вернуть деньги
playground.ruИсследователь систем безопасности и багхантер Сэм Карри рассказал, что получил от Google непонятную выплату в размере $250 тыс. Он пытался, но безуспешно, в течение трёх недель выяснить через техподдержку компании, почему это произошло и как вернуть эти деньги тому багхантеру, которому они действительно предназначались.
Карри занимается поиском различных уязвимостей в веб-приложениях и работает инженером по безопасности в компании Yuga Labs. Его работодатель и сам хакер зарегистрированы на площадке Google по выплатам вознаграждений за найденные уязвимости в сервисах компании. Но Карри не находил и не отсылал в Google информацию по такой критической уязвимости, за которую компания выплачивает такие большие суммы. Ему ещё повезло, что Google не перечислила ему $1 млн, что сейчас является максимальной выплатой за рабочую цепочку эксплойтов для удалённого выполнения кода в обход чипа безопасности Titan M.
В итоге Карри решил ничего не делать с деньгами на счёте и подождать ответа Google, так как решил для себя, что компания, скорее всего, заплатила ему случайно.
Представитель Google всё же вышел на связь с Карри, но только после огласки этой ситуации со стороны общества хакеров в СМИ.
В компании признались, что совершили дорогостоящую ошибку. «Наша команда по выплате багбаунти недавно произвела платёж не той стороне в результате человеческой ошибки. Мы ценим, что пострадавший партнёр быстро сообщил нам об этом, и мы работаем над исправлением этой ситуации», — рассказал СМИ представитель Google. В компании не уточнили детали инцидента, хотя в её информационной системе должны быть минимизированы подобные человеческие ошибки.
Карри поблагодарил Google за ответ и пояснил, что ему любопытно, как часто что-то подобное происходит в
