Van az úgy, hogy egy cég nem a rendőrséget hívja, ha valaki hibát talál az informatikai rendszerükben, hanem a pénztárost. A Google is így tett, amikor egy uruguayi középiskolás felfedezett egy komoly sebezhetőséget a cég saját rendszerében.

Ezequiel Pereira a Google egyik szerverén vette észre a sérülékenységet, amivel szemfüles támadók hozzáférhettek a back-end szervereken tárolt bizalmas adatokhoz. Pereira konkrét cél nélkül böngészte a Google szolgáltatásait a sebezhetőségeket vizsgáló Burp Suite-tal. Ekkor szúrta ki, hogy – más Google-szolgáltatásokkal szemben – itt nem megfelelők a biztonsági beállítások. Az oldalra (a yaqs.googleplex.com-ra) felhasználónév és jelszó nélkül is be lehetett lépni.

Miután belépett, a honlap átirányította Pereirát egy olyan oldalra, ami a Google különböző szolgáltatásaira és infrastruktúráira hivatkozó linkeket listázott. A weboldal footerében ez állt: „Google Confidential”.

Az ifjú hekker ezután értesítette a Google-t a történtekről. Megírta, hogy bárki hozzáférhet a Google bizalmas adataihoz, aki kiszúrja ezt a sebezhetőséget. A levelet július 11-én küldte el, a Google pedig hamarosan megkereste, és megígérték neki, hogy a biztonsági személyzet még felveszi vele a kapcsolatot, ha elhárították a hibát. Hát, felvették: augusztus 4-én kapta meg a tízezer dolláros jutalmat a Google-től.

A Google nem árulta el, hogy pontosan milyen adatokról volt szó. A kiberbiztonsági szakértőik viszont megjegyezték, hogy nem véletlenül ért meg nekik tízezer dollárt az ügy. A sebezhetőséggel érzékeny adatok kerültek volna veszélybe, ami adott esetben akár több millió dolláros kárt okozott volna a Google-nek.