Hacker hat einen großen Fehler bei Google für sich genutzt

Der Forscher und Hacker David Schütz hat in seinem Blog aufgeführt, dass er eine Sicherheitslücke bei Google gefunden habe. Er musste gar nicht viel tun, um die Lücke nutzen zu können und so an den API Key eines Opfers zu gelangen. Ein Klick hat dafür gereicht und dies zeigt, dass auch ein so großer Konzern wie Google vor Hackern nicht immer geschützt ist.

Es liegt bei Google eine fehlerhafte Domain-Validierung vor. Diese wird durch einen fehlerhaften Regex geboten. Google hat Glück gehabt, denn Schutz hat den Fehler gemeldet und dieser wurde auch rasch behoben. Dies hätte für Google aber auch ganz anders ausgehen können. Beide Seiten haben davon profitiert, dass Schütz sich schnell bei dem Konzern gemeldet hat. Google konnte so größere Schäden verhindern und Schütz hat ein Honorar erhalten. Der gefundene Fehler war nicht nur auf Google Cloud API begrenzt, sondern betraf auch andere Google Dienste und dies hätte in der Tat zu großen Problemen führen können. Hacker nutzen solche Fehler gerne für sich und gerade Google verfügt über viele Kundendaten. Somit darf man Schütz danken, dass er so besonnen an die Sache herangegangen ist.

Autor: Kerstin Münchehofe, Redaktion Domainalliance