Google臭虫通报系统爆漏洞，自家产品重大漏洞可被看光

Google的内部臭虫通报系统Issue Tracker被安全研究人员发现漏洞，可能导致外人得以一窥Google产品的漏洞数据库，幸好在经通报后，漏洞已经由Google修补。
 
Google Issue Tracker一般人可能不曾听过，因为它是Google员工使用的产品漏洞追踪平台，内部称之为Buganizer，但也提供安全研究人员向Google通报漏洞或特定专案合作伙伴使用。
 
安全研究人员Alex Birsan发现这个系统有三项漏洞，第一个能让他利用Buganizer的账号命名规则，成功以假冒的Google.com邮件账号注册Buganizer，第二个使他订阅并获得他无权限读取的漏洞通知。在通报Google后，分别获得3133.7美元及5,000美元的抓漏奖金。
 
第三项漏洞则让他透过Buganizer API登入Google后台的漏洞数据库，可以看到数千项Google产品的漏洞，包括被标示为“优先程度0”即极重大而危险的漏洞。最后一项漏洞使Birsan获颁7,500美元的抓漏奖金。
 
Google方面在发出奖金的同时，也已经修补了上述三项漏洞。
 
根据BleepingComputer报导，Alex通报这个漏洞后一小时内就罕见地接到Google“抓得好！”（Nice catch!）的回应，显示漏洞的风险程度。一旦攻击者只要成功入侵这项漏洞后果极严重，因为他可以直接使用开采漏洞，或将资料卖入黑市殃及Google数亿用户。微软及Mozilla都曾发生过内部漏洞数据库遭未授权存取的事。
 
但他也指出，骇客要从该平台上数千个漏洞中找出可用漏洞，再将之再转化为攻击，其实也没那么容易就是了。