Kontributor dari Frequent, Benner Haselton menulis:
“Google has fixed a vulnerability, first discovered by researcher Gergely Kalman, which let users search for credit card numbers by using hex number ranges. However, Google should have acknowledged or at least responded to the original bug finder (and possibly even paid him a bounty for it), and should have been more transparent about the process in general.”
Pada tahun 2007, saya menulis bahwa ada kemungkinan untuk menemukan nomor kartu kredit di Google dengan mencari pertama 8 digit pertama dari nomor kartu kredit Anda dengan spasi di tengahnya, misalnya “1234 5678″. Beberapa pengguna menuliskan komentar bahwa cara tersebut lebih mudah untuk menemukan nomor kartu dengan mencari berbagai nomor yang ada seperti:4147000000000000..4147999999999999
Pada beberapa titik setelah penemuan di-posting, Google mengubah filter pencarian mereka sehingga menggunakan nomor yang digunakan untuk mencari kartu kredit tidak lagi diperbolehkan. Jika Anda mencari itu, Anda akan menemukan halaman penolakan yang berbunyi:
Our systems have detected unusual traffic from your computer network. Please try your request again later.
Berdasarkan peneliti keamanan Gergely Kalman, ia telah membaca artikel saya pada tahun 2007 dan berpikir tentang masalah ini selama beberapa tahun, kemudian pada bulan Desember 2012 ia menemukan celah dalam filter pencarian Google: Dia dapat mencari nomor berkisar yang cocok untuk mencari nomor kartu kredit dengan menggunakan nomor heksadesimal . Sehingga pencariannya adalah: 4060000000000000..4060999999999999
Ia akan mencari dengan nomor yang sama menggunakan heksadesimal: 0xe6c8c69c9c000..0xe6d753e6ecfff
dan Google akan melakukan pencarian, dan kembali ke daftar halaman yang cocok (yang sebagian besar yang berisi nomor kartu kredit).
Kemudian pada tanggal 8 November 2013, saya menulis artikel lainnya untuk membenarkan fakta bahwa “1234 5678″ adalah trik yang masih dapat digunakan untuk menemukan nomor kartu kredit melalui Google, dan umumnya masih pada bertanya-tanya apakah isu tersebut sudah diperbaiki (sementara tetap tidak menghiraukan penemuan Gergely).
Gergely melihat artikel saya tersebut, dan kemudian mem-posting penemuannya kepada khalayak umum pada 12 November, bersama dengan diungkapkannya fakta bahwa ia telah menulis surat kepada Google dan tidak pernah menerima tanggapan:
“So I notified Google, and waited. After a month without a response, I notified them again to no avail. With a minor tweak on Haselton’s old trick, I was able to Google Credit Card numbers, Social Security numbers, and any other sensitive information.”
Gergely kemudian mengirimkan email tentang artikel saya beserta link postingan blog-nya. Dengan izin dari Gergely, saya memposting pesan dalam forum produk Google pada 14 November, menjelaskan tentang masalah dan mencoba untuk mendapatkan perhatian dari para pegawai Google:
“This is a security issue that I’m trying to bring to the attention of a Google employee. I’m not sure if it fits under ‘malware,’ but I couldn’t find a better place to post it. The original discoverer already emailed [email protected] twice and says he received no response.
[...]
The original discoverer posted about this trick here:
http://www.toptal.com/web/with-a-filter-bypass-credit-card-numbers-are-still-still-google-able
Can we get confirmation from someone at Google that they’re aware of this issue, regardless of what they decide to do about it?
Thanks!”
Jika Google mengabaikan penemuan secara keseluruhan – atau jika mereka telah membalas dan mengatakan bahwa itu adalah prioritas keamanan yang terlalu rendah untuk diperbaiki – yang mungkin akan menyelesaikan masalah ini, apakah kita setuju atau tidak. Hal ini, setelah semuanya, bukan hanya sebuah celah keamanan yang jatuh – dalam beberapa kasus tidak selamanya “1234 5678″ adalah celah keamanan memperbolehkan orang untuk menemukan kartu kredit dengan mudah.
Tapi setelah Google memutuskan untuk memperbaiki bug, itu terlihat tidak ada alasan untuk mencela orang yang menemukannya. Meskipun perbaikan itu terjadi pada tingkat kode yang sederhana, mendorong perubahan kode melalui mesin pencari Google, itu diduga tidak murah. Jika mereka dikenakan biaya untuk memperbaiki bug, apa yang bisa menjadi alasan untuk tidak mengkredit penemuan dan membayar bounty, yang juga akan membangun hubungan baik kedepannya dengan para pemburu bug? (Sepertinya itulah salah satu alasan programnya ada)
Di sisi lain , ketika seseorang di Google membaca postingan di blog atau membaca pertanyaan dalam forum dan menemukan bug, saya tidak tahu bagaiman urutan peristiwa itu dimulai, yang menyebabkan celah keamanan dipasang tanpa mengakui siapa penemunya. Itulah proses lain yang harus diperbaiki .
Google, tentu saja, seharusnya memperbaiki bug, dan memperhatikan isu terhadap pencarian kartu kredit secara khusus. Dengan memblokir pencarian tersebut, setelahnya, terutama untuk mencegah kerugian kepada orang lain dengan mencegah pencurian identitas, tanpa menguntungkan Google secara langsung, kemungkinan mereka menyaring pencarian tersebut karena beberapa kombinasi ( 1 ) ingin menjadi perusahaan netizen yang baik dan ( 2 ) tidak ingin alat pencarian mereka disalahgunakan oleh skrip kiddiez untuk mencari kartu kredit. Tetapi, setelah mereka memperbaiki bug, mereka harus membayar siapa penemunya, atau setidaknya memberikan Gergely kesempatan berbicara. Jika mereka memutuskan untuk menerapkan ide saya maka email ke [email protected], dan dipastikan itu akan baik-baik saja.
Sumber
“Google has fixed a vulnerability, first discovered by researcher Gergely Kalman, which let users search for credit card numbers by using hex number ranges. However, Google should have acknowledged or at least responded to the original bug finder (and possibly even paid him a bounty for it), and should have been more transparent about the process in general.”
Pada tahun 2007, saya menulis bahwa ada kemungkinan untuk menemukan nomor kartu kredit di Google dengan mencari pertama 8 digit pertama dari nomor kartu kredit Anda dengan spasi di tengahnya, misalnya “1234 5678″. Beberapa pengguna menuliskan komentar bahwa cara tersebut lebih mudah untuk menemukan nomor kartu dengan mencari berbagai nomor yang ada seperti:4147000000000000..4147999999999999
Pada beberapa titik setelah penemuan di-posting, Google mengubah filter pencarian mereka sehingga menggunakan nomor yang digunakan untuk mencari kartu kredit tidak lagi diperbolehkan. Jika Anda mencari itu, Anda akan menemukan halaman penolakan yang berbunyi:
Our systems have detected unusual traffic from your computer network. Please try your request again later.
Berdasarkan peneliti keamanan Gergely Kalman, ia telah membaca artikel saya pada tahun 2007 dan berpikir tentang masalah ini selama beberapa tahun, kemudian pada bulan Desember 2012 ia menemukan celah dalam filter pencarian Google: Dia dapat mencari nomor berkisar yang cocok untuk mencari nomor kartu kredit dengan menggunakan nomor heksadesimal . Sehingga pencariannya adalah: 4060000000000000..4060999999999999
Ia akan mencari dengan nomor yang sama menggunakan heksadesimal: 0xe6c8c69c9c000..0xe6d753e6ecfff
dan Google akan melakukan pencarian, dan kembali ke daftar halaman yang cocok (yang sebagian besar yang berisi nomor kartu kredit).
Kemudian pada tanggal 8 November 2013, saya menulis artikel lainnya untuk membenarkan fakta bahwa “1234 5678″ adalah trik yang masih dapat digunakan untuk menemukan nomor kartu kredit melalui Google, dan umumnya masih pada bertanya-tanya apakah isu tersebut sudah diperbaiki (sementara tetap tidak menghiraukan penemuan Gergely).
Gergely melihat artikel saya tersebut, dan kemudian mem-posting penemuannya kepada khalayak umum pada 12 November, bersama dengan diungkapkannya fakta bahwa ia telah menulis surat kepada Google dan tidak pernah menerima tanggapan:
“So I notified Google, and waited. After a month without a response, I notified them again to no avail. With a minor tweak on Haselton’s old trick, I was able to Google Credit Card numbers, Social Security numbers, and any other sensitive information.”
Gergely kemudian mengirimkan email tentang artikel saya beserta link postingan blog-nya. Dengan izin dari Gergely, saya memposting pesan dalam forum produk Google pada 14 November, menjelaskan tentang masalah dan mencoba untuk mendapatkan perhatian dari para pegawai Google:
“This is a security issue that I’m trying to bring to the attention of a Google employee. I’m not sure if it fits under ‘malware,’ but I couldn’t find a better place to post it. The original discoverer already emailed [email protected] twice and says he received no response.
[...]
The original discoverer posted about this trick here:
http://www.toptal.com/web/with-a-filter-bypass-credit-card-numbers-are-still-still-google-able
Can we get confirmation from someone at Google that they’re aware of this issue, regardless of what they decide to do about it?
Thanks!”
Jika Google mengabaikan penemuan secara keseluruhan – atau jika mereka telah membalas dan mengatakan bahwa itu adalah prioritas keamanan yang terlalu rendah untuk diperbaiki – yang mungkin akan menyelesaikan masalah ini, apakah kita setuju atau tidak. Hal ini, setelah semuanya, bukan hanya sebuah celah keamanan yang jatuh – dalam beberapa kasus tidak selamanya “1234 5678″ adalah celah keamanan memperbolehkan orang untuk menemukan kartu kredit dengan mudah.
Tapi setelah Google memutuskan untuk memperbaiki bug, itu terlihat tidak ada alasan untuk mencela orang yang menemukannya. Meskipun perbaikan itu terjadi pada tingkat kode yang sederhana, mendorong perubahan kode melalui mesin pencari Google, itu diduga tidak murah. Jika mereka dikenakan biaya untuk memperbaiki bug, apa yang bisa menjadi alasan untuk tidak mengkredit penemuan dan membayar bounty, yang juga akan membangun hubungan baik kedepannya dengan para pemburu bug? (Sepertinya itulah salah satu alasan programnya ada)
Di sisi lain , ketika seseorang di Google membaca postingan di blog atau membaca pertanyaan dalam forum dan menemukan bug, saya tidak tahu bagaiman urutan peristiwa itu dimulai, yang menyebabkan celah keamanan dipasang tanpa mengakui siapa penemunya. Itulah proses lain yang harus diperbaiki .
Google, tentu saja, seharusnya memperbaiki bug, dan memperhatikan isu terhadap pencarian kartu kredit secara khusus. Dengan memblokir pencarian tersebut, setelahnya, terutama untuk mencegah kerugian kepada orang lain dengan mencegah pencurian identitas, tanpa menguntungkan Google secara langsung, kemungkinan mereka menyaring pencarian tersebut karena beberapa kombinasi ( 1 ) ingin menjadi perusahaan netizen yang baik dan ( 2 ) tidak ingin alat pencarian mereka disalahgunakan oleh skrip kiddiez untuk mencari kartu kredit. Tetapi, setelah mereka memperbaiki bug, mereka harus membayar siapa penemunya, atau setidaknya memberikan Gergely kesempatan berbicara. Jika mereka memutuskan untuk menerapkan ide saya maka email ke [email protected], dan dipastikan itu akan baik-baik saja.
Sumber