Moins d'une quinzaine de jours après avoir une révélation concernant le piratage en 2013 de la base de données de suivi de bugs de Microsoft - incluant des failles pour Windows -, c'est au tour de celle de Google d'être sous les feux des projecteurs. Alexander Birsan, développeur chez Bitdefender et également chasseur de bugs notamment sur la plateforme HackerOne, a ainsi alerté notre confrère Zdnet, de l'existence d'une faille dans Issue Tracker.
Egalement connu sous le nom de Buganizer, Issue Tracker est utilisé par les chercheurs en sécurité et les chasseurs de bugs pour soumettre des problèmes, et des vulnérabilités de sécurité affectant les logiciels, services et produits de Google. Cela comprend aussi les plus sensibles et des zero day. Dans un billet, Alexander Birsan explique la technique utilisée pour envoyer des requêtes altérées au serveur d'Issue Tracker et lui permettre d'accéder à n'importe quel type de bugs Google répertoriés. « Pire encore, je pourrais exfiltrer des données sur plusieurs tickets en une seule requête, donc surveiller toute l'activité interne en temps réel n'aurait probablement pas déclenché de limiteurs de débit », a expliqué le développeur.
En tout, les trois failles décrites par Alexander Birsan permettant d'exploiter de façon illicite Issue Tracker lui ont permis de remporter 15 600 dollars via le programme de bug bounty de Google. Une somme supplémentaire de 3 133 dollars lui a même été accordée pour continuer ses recherches de vulnérabilités sur Issue Tracker.