▲GN⁺ 2025-02-13 | parent | ★ favorite | on: YouTube 사용자 이메일 유출 취약점 발견하여 $10,000 보상금 수령(brutecat.com)Hacker News 의견 이 제목이 혼란스럽게 느껴졌음. 기사 끝까지 읽지 않은 사람들을 위해: 유출된 이메일은 그들에게 아무 비용도 들지 않았고, 10,000달러의 버그 바운티를 받았음 이 스레드의 3번째 메시지마다 Google이 이 버그에 대해 적게 지불했다는 내용이 있음. 취약점 평가에 대한 기본적인 사항들: 서버 측 취약점의 평가는 낮음. 공급업체들이 경쟁하지 않기 때문임 Android/Chrome 같은 전체 체인 버그는 수십만 달러에 거래됨. Google이 잘 확립된 회색 시장과 경쟁하기 때문임 바운티와 회색 시장의 비교는 사과와 오렌지의 비교임. Google은 신뢰할 수 있는 익스플로잇이 필요하지 않기 때문에 회색 시장보다 훨씬 적게 지불함 위협 행위자들은 기존 비즈니스 프로세스에 맞는 취약점을 구매함. 새로운 취약점으로 무엇을 할 수 있을지에 대해 추측하지 않음 바운티 지급은 일반적으로 버그의 창의성이나 흥미로움에 대한 평가가 아님. 그러나 여기서는 서버 측 웹 버그에 대해 10,000달러가 매우 높게 느껴짐 이러한 종류의 버그를 찾는 사람들의 비즈니스 전략은 많은 버그를 찾는 것임. iOS 익스플로잇 개발처럼 한 가지 익스플로잇에 몇 달을 투자하는 것이 아님 최근 경력에서 내가 한 취약점 연구와 비슷함. 하지만 이 일을 전문적으로 하는 사람들이 있다면 그들의 의견을 듣고 싶음 책임 있는 공개, 그 동기와 보상에 대한 많은 이야기가 있음. 그러나 중앙 집중식 영구 신원에 대한 반대 데이터 포인트로서의 이야기는 없음 Real Identity™와의 단일 링크로만 작동한다고 주장하는 서비스를 볼 때마다, 공급업체들이 실제로 사용자를 보호하는 데 관심이 없다는 것을 상기하게 됨 YouTube에서 상호작용하는 사람을 즉시 폭로할 수 있는 몇 단계 더 가까워질 수 있다고 상상해 보세요. 이것이 이 버그의 실제 영향임 이 버그가 수정된 것은 좋지만, 이 종류의 버그가 곧 사라질 것 같지는 않음. 공급업체와 대기업이 이러한 설계가 위험하다는 것을 깨닫게 하려면 무엇을 해야 할까? 훌륭한 발견임! 이렇게 유명한 서비스에서 취약점을 찾는 것은 이력서에 매우 좋게 보일 것임. 축하함 "공격 체인에 필요한 복잡성 때문에 기본 금액에서 1단계 하향 조정 적용" - 이것이 일반적인가? 몇몇 취약점 프로그램에만 참여했지만, 대부분은 보안 결함이 매우 간단할 때 보상을 덜 줌 한 댓글러가 이미 바운티 금액이 암시장 가치와 어떻게 관련이 있는지 설명했음. 이제 많은 사람들이 Google이 보안을 충분히 중요하게 여기지 않는다고 생각할 수 있음 보안 목적을 위해 가능한 한 적게 지불해야 함. 더 많이 지불하면 버그를 찾는 인센티브가 증가하고, 암시장도 증가할 수 있음 GTO 전략은 가능한 적은 돈으로 암시장을 차단하는 것임 Google에서 연구 대상을 찾고 있었고 Internal People API (Staging) 발견 문서를 조사하고 있었음. 이것이 공개되어야 할까? YouTube 채널 소유자에게 이메일을 보내는 방법이 있었으면 좋겠음. 대부분 이메일 연락처가 없고, 스폰서십이나 다른 거래를 위해 연락하기 어려움 Google이 90일 이내에 수정되지 않은 경우 보안 취약점을 공개하는지 궁금함. 이 경우 147일 만에 수정되었음 이메일 시스템이 전송되지 않도록 하는 것은 추가적인 문제임. Google과 같은 큰 회사가 많은 제품을 개발했지만, "보안"은 가짜처럼 느껴짐. 코드 한 줄 한 줄이 잠재적인 취약점이 될 수 있음
Hacker News 의견
이 제목이 혼란스럽게 느껴졌음. 기사 끝까지 읽지 않은 사람들을 위해: 유출된 이메일은 그들에게 아무 비용도 들지 않았고, 10,000달러의 버그 바운티를 받았음
이 스레드의 3번째 메시지마다 Google이 이 버그에 대해 적게 지불했다는 내용이 있음. 취약점 평가에 대한 기본적인 사항들:
바운티 지급은 일반적으로 버그의 창의성이나 흥미로움에 대한 평가가 아님. 그러나 여기서는 서버 측 웹 버그에 대해 10,000달러가 매우 높게 느껴짐
이러한 종류의 버그를 찾는 사람들의 비즈니스 전략은 많은 버그를 찾는 것임. iOS 익스플로잇 개발처럼 한 가지 익스플로잇에 몇 달을 투자하는 것이 아님
최근 경력에서 내가 한 취약점 연구와 비슷함. 하지만 이 일을 전문적으로 하는 사람들이 있다면 그들의 의견을 듣고 싶음
책임 있는 공개, 그 동기와 보상에 대한 많은 이야기가 있음. 그러나 중앙 집중식 영구 신원에 대한 반대 데이터 포인트로서의 이야기는 없음
Real Identity™와의 단일 링크로만 작동한다고 주장하는 서비스를 볼 때마다, 공급업체들이 실제로 사용자를 보호하는 데 관심이 없다는 것을 상기하게 됨
YouTube에서 상호작용하는 사람을 즉시 폭로할 수 있는 몇 단계 더 가까워질 수 있다고 상상해 보세요. 이것이 이 버그의 실제 영향임
이 버그가 수정된 것은 좋지만, 이 종류의 버그가 곧 사라질 것 같지는 않음. 공급업체와 대기업이 이러한 설계가 위험하다는 것을 깨닫게 하려면 무엇을 해야 할까?
훌륭한 발견임! 이렇게 유명한 서비스에서 취약점을 찾는 것은 이력서에 매우 좋게 보일 것임. 축하함
"공격 체인에 필요한 복잡성 때문에 기본 금액에서 1단계 하향 조정 적용" - 이것이 일반적인가?
몇몇 취약점 프로그램에만 참여했지만, 대부분은 보안 결함이 매우 간단할 때 보상을 덜 줌
한 댓글러가 이미 바운티 금액이 암시장 가치와 어떻게 관련이 있는지 설명했음. 이제 많은 사람들이 Google이 보안을 충분히 중요하게 여기지 않는다고 생각할 수 있음
보안 목적을 위해 가능한 한 적게 지불해야 함. 더 많이 지불하면 버그를 찾는 인센티브가 증가하고, 암시장도 증가할 수 있음
GTO 전략은 가능한 적은 돈으로 암시장을 차단하는 것임
Google에서 연구 대상을 찾고 있었고 Internal People API (Staging) 발견 문서를 조사하고 있었음. 이것이 공개되어야 할까?
YouTube 채널 소유자에게 이메일을 보내는 방법이 있었으면 좋겠음. 대부분 이메일 연락처가 없고, 스폰서십이나 다른 거래를 위해 연락하기 어려움
Google이 90일 이내에 수정되지 않은 경우 보안 취약점을 공개하는지 궁금함. 이 경우 147일 만에 수정되었음
이메일 시스템이 전송되지 않도록 하는 것은 추가적인 문제임. Google과 같은 큰 회사가 많은 제품을 개발했지만, "보안"은 가짜처럼 느껴짐. 코드 한 줄 한 줄이 잠재적인 취약점이 될 수 있음