Non ci sono molte informazioni su ciò che specificamente è lo scopo della squadra arancione di Google o su quello che hanno fatto (un po 'ovvio perché ...), ma in generale ci sono due tipi di test di penetrazione che uno vorrebbe da fare: l'ovvio in cui si garantisce che i sistemi esposti al mondo esterno siano sicuri e meno ovvi in cui si garantisce che i sistemi siano sicuri dall'interno.
Pensalo in questo modo: cosa potrebbe fare un utente con una conoscenza interna dei sistemi e un livello di sicurezza standard per farlo male. non si tratta necessariamente di proteggersi da un malvagio dipendente (anche se questo fa parte dell'obiettivo per le aziende più grandi), si tratta di mantenere la propria architettura onesta. Vuoi che le cose brutte siano impossibili anche in linea di principio , non solo perché presumi che nessuno possa piegare le regole (sia per scopi nefandi o semplicemente per pigrizia).
La mia comprensione in base a ciò che ho sentito su Internet è che la squadra arancione di Google è qualcosa del genere, che essenzialmente cercano di hackerare Google da dentro usando qualsiasi mezzo a cui possano pensare (alla tua domanda, immagino breve di causare effetti visibili sulla produzione), incluso effettuare chiamate a API interne che non sono disponibili esternamente.
Per una grande azienda in cui molti team e membri del team dovrebbero avere diversi livelli di accesso a diverse risorse interne, questo tipo di test di penetrazione aiuta a migliorare la sicurezza dell'architettura dei sistemi interni. E sì, sono sicuro che il fattore "male impiegato" incombe su questo tipo di attività ... immagina cosa succederebbe se la persona sbagliata riuscisse a inserire un po 'di codice in un compilatore o in un browser popolare.
Inoltre, dev'essere un lavoro davvero divertente! : P