یکی از پژوهشگران اعلام کرد که یک آسیبپذیری XSS کشف کرده است که برای حمله به کارکنان گوگل مورد بهرهبرداری قرار گرفته است و احتمالاً مهاجمان به صورتحسابها و سایر اطلاعات حساس دسترسی پیدا کردهاند. توماس اورلیتا، پژوهشگر ۱۶ سالهی Czech Republic، سرویس Google Invoice Submission Portal را که فروشندگان میتوانند صورتحسابها را برای گوگل ارسال کنند، تجزیه و تحلیل کرده است. در طول فرآیند ارسال یک صورتحساب، از کاربران خواسته میشود تا انواع مختلفی از اطلاعات را از طریق چند فیلد متنی ارائه دهند. بااینحال، اورلیتا فهمید که این ورودیها بهدرستی پاکسازی نشدهاند و میتوانند برای حملات XSS مورد بهرهبرداری قرار گیرند.
وی متوجه شد که این ویژگی که برای بارگذاری صورتحساب واقعی در فرمت پیدیاف طراحی شده است، میتواند برای بارگذاری فایلهای HTML مورد بهرهبرداری قرار گیرد. یک مهاجم بهسادگی یک درخواست را دریافت میکند و نام فایل بارگذاریشده و ویژگیهای نوع محتوا را به HTML تغییر دهد. اورلیتا در آزمایشات خود یک فایل HTML محتوی بار دادهی XSS را بارگذاری کرد که در هر بار که بارگذاری میشد یک ایمیل برای او ارسال میکرد. چند روز بعد وی یک ایمیل دریافت کرد که نشان میداد کد جاوااسکریپت موجود در بار دادهی او در یک دامنه به نام googleplex.com اجرا شده است که کاربران را به یک صفحهی ورود به اینترانت گوگل به نام MOMA هدایت میکند.
این پژوهشگر معتقد است که این آسیبپذیری برای اجرای کد دلخواه از طرف کارکنان گوگل و دسترسی به صورتحسابها و سایر اطلاعات حساس مورد بهرهبرداری قرار گرفته است. وی همچنین معتقد است که به دلیل اینکه کارکنان گوگل بااستفاده از حساب شرکتی خود وارد شدهاند، احتمال آن وجود دارد که به وبگاههای داخلی دیگر از طرف آنها دسترسی پیدا کنند.
اورلیتا تشریح کرد که حملهی XSS روی یک زیردامنهی googleplex.com اجرا شده است. در همان زیردامنه برخی انواع داشبوردها برای نمایش و مدیریت صورتحسابهای ارسالشده از طریق Submission Portal وجود دارد. از آنجا که امکان اجرای کد جاوااسکریپت دلخواه در همان زیردامنه وجود دارد، هیچ مانعی برای دسترسی مهاجم به داشبورد و ارسال دادهی بارگذاریشده به یک سرور وجود ندارد.
وی افزود که بسته به نحوهی پیکربندی کوکیها روی سرور، امکان ارسال درخواستها به سایر زیردامنههای googleplex.com وجود خواهد داشت. همچنین فهرستی از صدها زیردامنهی متفاوت در این دامنه وجود دارد. میزان دادههایی که مهاجمان به آنها دست پیدا میکنند به نحوهی بهرهبرداری آنها از این آسیبپذیری بستگی دارد. این آسیبپذیری در ۲۱ فوریه به گوگل اطلاع داده شد و یک ماه بعد یک وصله برای آن منتشر شد. گوگل ابتدا سطح اولویت P2 (شدید) را به این آسیبپذیری اختصاص داده بود، اما بعدها آن را P1 (بحرانی) تغییر داد.