Санмай Вед
29 сентября 2015 года хакер и бывшей гуглер Санмай Вед (Sanmay Ved) навёл шороху, когда умудрился купить домен Google.com на одну минуту. Домен оказался свободным через Google Domains по стандартной цене $12 в год.
Компания Google в течение минуты осознала свою ошибку и в течение минуты забрала обратно самый посещаемый домен в интернете. Сейчас стали известны подробности той истории, а именно — сумма выкупа (вознаграждения) хакеру.
Скриншоты, как Санмай Вед покупал домен.
Компания Google забрала домен принудительно без всяких переговоров, но позже перечислила хакеру сумму $6006,13 по программе выплаты вознаграждений за найденные уязвимости. На leet-жаргоне 600613 можно прочитать буквами, поэтому сумма была именно такой. Для Google нормально рассчитывать такими суммами: в прошлом году она (точнее, родительская компания Alphabet) выкупила акции на $5 099 019 513,59 — квадратный корень из 26, а в 2011 году Google заплатила $3,14159 млрд (пи миллиардов долларов) за патенты Nortel.
Санмай Вед пожертвовал полученные деньги индийской благотворительной организации, которая занимается образованием жителей трущоб The Art of Living India. Узнав об этом, компания Google удвоила вознаграждение.
Всего за прошлый год Google наградила более 300 хакеров на сумму около $2 млн. В том числе вознаграждение получил и опытный исследователь Томаш Боярский (Tomasz Bojarski), который нашёл уязвимость в веб-форме Google для сообщения информации об уязвимостях.
Комментарии (35)
Fed_Mikron
29.01.2016 12:35+25>На leet-жаргоне 600613 можно прочитать буквами, поэтому сумма была именно такой.
совсем не такой, а в 100 раз меньше.
Жлобы, ещё пытаются остроумными выглядеть.
Компания не называется Goog,le и попытка сумничать неуместна.
BeLove
29.01.2016 15:46+8Узнав об этом, компания Google удвоила вознаграждение.
Нет, не узнав об этом (будто случайно)/
А это правило прописано в правилах www.google.com/about/appsecurity/reward-program
We understand that some of you are not interested in money. We offer the option to donate your reward to an established charity. If you do so, we will double your donation — subject to our discretion. Any rewards that are unclaimed after 12 months will be donated to a charity of our choosing.
timurrrr
02.02.2016 10:47И удвоила не вознаграждение, а пожертвование (фонду).
То есть «награждаемый» пишет в гугл «не, деньги не хочу, переведите их в такой-то фонд» и гугл переводит туда двойную сумму. «Награждаемый» при этом ни в какой момент времени на руки ничего не получает.
imwode
29.01.2016 19:11+23Самого главного нет ни в топике ни в камментах — было ли это законное действие со стороны хакера и было ли это законное действие со стороны компании?
AndrewTishkin
02.02.2016 12:58Суть хакерства и уязвимости в чём, что вознаградили? Додуматься набрать в строке подбора этот домен?
marksv
02.02.2016 13:44не каждый день google раздает свои домены
AndrewTishkin
02.02.2016 14:57-1Ну дала и «забрала домен принудительно без всяких переговоров». Деньги-то зачем было платить? Чтоб у Санмая психологической травмы не было? Сильно сомневаюсь, что если бы проблему не заметили спустя минуту (кстати, а как так вышло, ответственное за домен лицо получило e-mail уведомление, или ответственные за сервис админы что-то мудрили в это время, сделав домен доступным для регистрации, и поэтому мгновенно среагировали, или есть какая-то система проверки-защиты, может запускаемая каждую минуту через cron? :D Даже странно, что хабравчане зациклились на баксах и не интересуются техническими деталями), сомневаюсь, что он не связался бы с Google без всяких мыслей о деньгах. Ну не всё же в этом мире стало делаться исключительно ради них…
Или ради имиджа, мы косячим, зато бываем добры и щедры, так что давайте сделаем вид, что этого не было? Или стимулирование новых людей на поиски багов-лагов?
RuJet
02.02.2016 16:09Раздача денег — это стандартная программа поиска уязвимостей от Google.
Такие новости постоянно выходят на хабре.
Просто эта оказалась резонансная.AndrewTishkin
02.02.2016 16:51Спасибо, КО, я в курсе. Меня интересуют технические подробности. Чисто финансовая история со скриншотами на мой взгляд больше в формате Мегамозга.
Если это проявилось только для одного домена, то не была ли это вообще какая-то заглушка для тестеров. Произошли ли какие-то изменения в реестре доменов или только деньги списались да в панельке управления он появился. Резонанс, да ни о чём, где стелить соломку непонятно, перекреститься и верить, что ты не гугл и подобным образом своего домена никогда даже на короткое время не лишишься.
Единственная практическая польза — знание о том, что любая домохозяйка потыкавшись туда, куда по логике тыкаться смысла нет, может внезапно за это получить кругленькую сумму
DarkByte
02.02.2016 16:19+1Просто Google одна из тех компаний, кто платит за баги, а не говорит «это не уязвимость» и вообще «мы её до вашего письма успели исправить». Мне кажется, что дело в этом.
nerudo
12 баксов-то вернули или как обычно?
lany
Вроде вернули:
domix32
История рассказывает, что после приобретения Санмай рванул делать скриншоты, а регистратор через минуту понял, что домен получил не гугл, а кто-то еще — операция покупки домена была отменена и деньги были возвращены обратно. Странно, что скриншоты мыльные