據外媒報導，一位年輕的安全研究員在谷歌的一個後端應用程序中發現了一個安全漏洞。如果被黑客利用，該漏洞可能會讓黑客竊取谷歌內部應用程序的員工cookie並劫持賬戶，發起魚叉式釣魚攻擊，並有可能進入谷歌內部網絡的其他部分。

今年2月，安全研究人員Thomas Orlita發現了這個攻擊途徑。漏洞在4月中旬已修復，但直到現在才公佈。該安全漏洞為XSS（跨站點腳本）漏洞，影響了谷歌發票提交門戶，谷歌的業務合作夥伴在此處提交發票。

大多數XSS漏洞被認為是良性的，但也有少數情況下，這些類型的漏洞會導致嚴重的後果。

其中一個漏洞就是Orlita的發現。研究人員表示，惡意威脅行動者可將格式不正確的文件上傳到谷歌發票提交門戶。

攻擊者使用代理可以在表單提交和驗證操作完成後立即攔截上傳的文件，並將文檔從PDF修改為HTML，注入XSS惡意負載。

數據最終將存儲在谷歌的發票系統後端，並在員工試圖查看它時自動執行。Orlita表示，員工登錄時在googleplex.com子域名上執行XSS漏洞，攻擊者能夠訪問該子域名上的dashboard，從而查看和管理髮票。根據googleplex.com上配置cookie的方式，黑客還可以訪問該域中託管的其他內部應用程序。

總的來說，就像大多數XSS安全漏洞一樣，這個漏洞的嚴重程度依賴於黑客的技能水平。