No hay mucha información acerca de cuál es específicamente el alcance del equipo naranja de google o lo que han hecho (un poco obvio por qué ...), pero en general hay dos tipos de pruebas de penetración que uno desearía Por hacer: el más obvio donde se asegura que los sistemas que están expuestos al mundo exterior son seguros, y el menos obvio donde se asegura que los sistemas estén seguros desde dentro.
Piénselo de esta manera: lo que podría hacer una persona con un conocimiento interno de los sistemas y un nivel de seguridad estándar para el acceso a ellos sería malo. No se trata necesariamente de protegerse contra un empleado malvado (aunque eso es parte del objetivo de las empresas más grandes), se trata de mantener su propia arquitectura honesta. Desea que las cosas malas sean imposibles incluso en principio , no solo porque asume que nadie doblará las reglas (ya sea con propósitos nefarios o simplemente por pereza).
Según mi entendimiento, según lo que he escuchado en Internet, el equipo naranja de Google es algo así, que esencialmente intentan piratear Google desde dentro utilizando cualquier medio que se les ocurra (a su pregunta, supongo que breve. de causar efectos visibles de producción), incluido realizar llamadas a API internas que no están disponibles externamente.
Para una gran empresa donde se supone que muchos equipos y miembros de equipos tienen diferentes niveles de acceso a diferentes recursos internos, este tipo de pruebas de penetración ayuda a mejorar la seguridad de la arquitectura interna de los sistemas. Y sí, estoy seguro de que el factor del "empleado malvado" es grande en este tipo de negocios ... imagina lo que sucedería si la persona equivocada lograra insertar un poco de código en un compilador o en un navegador popular.
Además, ¡tiene que ser un trabajo realmente divertido! : P