研究人員從谷歌手中賺到5000美元獎金，因為在這家科技巨頭的內網系統登錄頁面發現了一個信息泄露漏洞。

谷歌員工到公司后第一件事是什么？很可能是登錄“moma”——谷歌內網登錄頁面login.corp.google.com。這個頁面就是讓奧地利研究員大衛·溫德賺到谷歌漏洞獎勵的脆弱谷歌服務。

該登錄頁面很簡單，但每次被訪問都會從 static.corp.google.com加載一個隨機鏡像。多次嘗試失敗后，溫德通過在該URL后添加隨機字符串，成功產生了一個404錯誤頁面。

與谷歌呈現給用戶的其他錯誤頁面顯示的不同，這個頁面包含有一個名為“以SFFE調試跟蹤重新查詢”的鏈接，該鏈接指向原URL，只不過，后面跟了個“?deb=trace”。

該調試頁面包含多種信息，有服務器名稱和內部IP、X-FrontEnd(XFE) HTTP 請求、服務策略，以及谷歌的NoSQL大數據數據庫服務 Cloud Bigtable 相關信息。

溫德在他的博客中說：“該頁面不允許任何用戶互動，我沒找到可以進一步深入系統的東西，所以我馬上就報告了。”

谷歌為他的發現支付了5000美元——影響高敏感應用的信息泄露最高獎金。

該漏洞在1月19日被報告給谷歌，幾天后就實現了短期修復解決方案。谷歌告訴溫德，永久修復在3月16日推出。

5000美元的獎勵，相比其他漏洞獎勵的額度來說已經很高了，但按谷歌的標準還不值一提，谷歌給遠程代碼執行漏洞開出的獎金高達3萬美元。

2010年設立漏洞獎勵項目以來，谷歌共計支出900萬美元的漏洞獎勵，僅去年就是300多萬美元。最大單筆獎金在2016年開出——10萬美元。