Beveiligingsonderzoeker ontvangt 5.000 dollar voor melden van lek in Google.com
De beveiligingsonderzoeker Michele Spagnuolo heeft 5.000 dollar verdiend door een beveiligingslek in de Google.com-website op te sporen en te melden. Het gaat om een Cross-Site Scripting (XSS)-kwetsbaarheid die op het hoofddomein van Google aanwezig was. Interactie van gebruikers was niet noodzakelijk om hen tot slachtoffers te maken.
De kwetsbaarheid is veroorzaakt door een fout in Google Finance, de financiële dienst van Google. Deze wordt op een subdomein van Google.com gehost. Via de XSS-kwetsbaarheid konden aanvallers onder andere cookies van gebruikers stelen en hiermee toegang krijgen tot het Google-account van slachtoffers.
Spagnuolo meldde het probleem bij Google, die slechts enkele dagen nodig had om de kwetsbaarheid te verhelpen. Als dank heeft Google Spagnuolo nu beloond met een bedrag van 5.000 dollar.
