Med relativt enkla medel lyckades en säkerhetsexpert få åtkomst till ett internt system där Google förvarade information om allvarliga säkerhetshål i sina produkter.

Den som har tillgång till databsen skulle kunna använda information om nya sårbarheter för att hacka Google-användare. Det säger säkerhetsforskaren Alex Birsan, som upptäckte buggarna, till ZDNet.

Systemet i fråga heter Issue Tracker och används av buggjägare och säkerhetsforskare som vill rapportera problem eller sårbarheter i Googles tjänster. Den som får insyn i Issue Trackers databas får koll på alla buggar som Google jobbar på att åtgärda.

I själva verket hittade Alex Birsan hitta flera sårbarheter i Googles system som till sist ledde rätt in i Issue Trackers innersta, skriver han i ett blogginlägg. Först lyckades han skapa en falsk mejladress som slutade på ”@google.com”, vilket fick Googles tjänster att behandla honom som en anställd. Han fick fortfarande inte tillgång till Googles interna system, men en anställd har vissa extra befogenheter på Googles sajter. Tillräckligt för att han skulle kunna se rapporter till Issue Tracker, även om det inte gick att läsa innehållet.

Läs ocksåDdos-attack mot Skolverket – slår mot interna system

Men snart upptäckte Birsan att han kunde ändra några rader i förfrågningarna han skickade till systemet för att öka sina privilegier. Och se, trots att han saknade behörighet fick han plötsligt tillgång till all information om de inrapporterade buggarna – till och med de mest kritiska.

När Birsan tittat närmare på den publika informationen om Issue Tracker kan han konstatera att Google får in rapporter om tusentals buggar i timmen. Och med den åtkomst han hade skulle han kunnat logga samtliga utan att stöta på patrull.

Men den glada nyheten är att Google fixar sårbarheterna snabbare ju allvarligare de är. I många fall åtgärdas buggarna på några timmar.

– Så även om du har tur och drar upp en baddare så fort den rapporterats in måste du fortfarande ha en plan för vad du vill göra med den, säger Alex Birsan till ZDNet.

Totalt fick Birsan drygt 130 000 kronor i belöning från Google för sina upptäckter.

Läs också: Slack-grundaren i stor intervju: ”Microsoft oroar mig”

System som Issue Tracker är perfekta mål för hackare som vill få inblick i populära tjänster. Vi rapporterade nyligen om hur hackare ska ha fått tillgång till Microsofts motsvarighet för några år sedan och under en tid övervakat alla sårbarheter som rapporterades in.