Независимый исследователь в области интернет-безопасности Нильс Джунеманн специализируется на поиске уязвимостей в сервисах Google, получая за это вознаграждение по программе Vulnerability Reward Program. За последнее время он нашёл множество уязвимостей во всех основных продуктах Google и неплохо заработал. 27 апреля Нильс опубликовал в своём блоге сообщение с описанием последней находки — XSS-уязвимости в Google+, вознаграждение за которую он пожертвовал на строительство школы в Эфиопии.
В статье Джунеманна был указан и конкретный код, который вызывает ошибку в Google+: нужно завести профиль под именем "><img src=x onerror=prompt(1);>.
История о том, что дыры в Google помогают строить школы для африканских детей, тронула сердца коллег, и известный хакер Чарли Миллер опубликовал у себя ретвит — а дальше произошло интересное.
Издание InformationWeek ведёт «авторскую рубрику» Чарли Миллера, публикуя ссылки из его твитов. Сегодня ночью в эту рубрику попало и сообщение в блоге Джунеманна. К несчастью, редакторы издания вставили в текст страницы и тот злосчастный код. Как результат, на сайте InformationWeek проявился такой же баг, что и на Google+ (ссылка, скриншот)
Автор: alizar