Esta falha de Cross Site Scripting (ou XSS) permitia aos atacantes acederem à infraestrutura interna da Google. O portal de submissão de faturas da Google é um serviço público que permite, e é usado por parceiros de negócio da Google, para submeterem faturas.
Desta forma, além de os atacantes poderem explorar a falha para acederem à rede interna, podiam apanhar cookies dos colaboradores, seguindo-se o roubo de contas e mensagens de spear-phishing.
Na raiz do problema, está a falta de sanitização do conteúdo carregado pelo upload de ficheiros. O que o investigador fez foi fazer upload de um ficheiro em HTML, modificando o content-type e nome do ficheiro; desta forma, o servidor em vez de processar algo no formato application/pdf, como definido, ia e processou conteúdo em html.
A partir desta falha, o investigador fez upload de um ficheiro HTML de forma a que o código se mantivesse no servidor e, sempre que um colaborador lá acedesse, fosse avisado. Esta parte é possível a partir de um código XSS que era ativado sempre que alguém acedia ao portal, mais especificamente o googleplex[.]com.
Pelo facto de grande parte das aplicações internas da Google residirem no domínio supracitado, esta falha seria um grande nicho para os atacantes para roubarem informação sensível e acederem à infraestrutura interna.
Fonte: https://www.securityweek.com/xss-vulnerability-exposed-google-employees-attacks