Joven recibe recompensa de $36.337 por encontrar RCE en Google App Engine



Un joven Uruguayo de 18 años llamado Ezequiel Pereira, recibió una recompensa por parte de Google por haber encontrado una vulnerabilidad de Ejecución de código remoto en Google App Engine. Esta plataforma permite a sus usuarios desarrollar y levantar servicios web de manera administrada y sencilla.

En Febrero de este año Pereira gano acceso a equipos no productivos de Google, cuando descubrió que fue posible utilizar API que eran internas de Google.

Pereira de manera ética, reporto a Google la falla descubierta mediante el programa Vulnerability Reward Program (VRP).  Los expertos de Google clasificaron la falla como prioridad 1, prioridad que se les da a las vulnerabilidades que pueden causar un impacto negativo a un gran número de usuarios, por eso la vulnerabilidad debía ser reparada lo antes posible.

Mientras tanto Pereira continuo sus test y generó un segundo informe a google despues de encontrar otras fallas. entonces Google invitó a Pereira a detener sus actividades por el riesgo de impactar a los servicios productivos de clientes al utilizar esas API internas.

"A principios de 2018 obtuve acceso a un entorno de despliegue de Google App Engine que no era de producción, donde podía usar API internas y se consideraba la ejecución remota de código debido a la forma en que funciona Google. Gracias a esto obtuve una recompensa de $ 36,337 como parte del Programa de Recompensas de Vulnerabilidad de Google ", se lee en la publicación del blog publicada por el investigador.
Esta no seria la primera vez que Pereira recibe recompensas por parte de Google, el año 2017 también recibió una recompensa, al acceder a información confidencial.

 Para mas detalles de la vulnerabilidad detectada por Pereira visite el blog del joven investigador :
https://sites.google.com/site/testsitehacking/-36k-google-app-engine-rce