Google : un lycéen pirate les serveurs et gagne 10 000 dollars

Un lycéen uruguayen du nom de Ezequiel Pereira est parvenu à trouver une faille lui permettant de pirater les serveurs de Google. En récompense, la firme de Mountain View lui a offert la somme de 10 000 dollars.

google faille 10 000 dollars lycéen

Google se démène pour renforcer la sécurité de ses différents OS, mais le risque zéro n’existe pas. En novembre dernier, plus de 300 000 smartphones Android avaient été piratés à cause d’une faille Chrome. Par conséquent, la firme incite les utilisateurs à trouver des failles et à les signaler en échange d’argent.

C’est en explorant les services de Google que le jeune Ezequiel Pereira a découvert une faille majeure. Le lycéen s’est aperçu qu’en utilisant Burp Suite, un scanner de vulnérabilités très populaire, il était possible de modifier le « host header » et ainsi d’accéder aux applications internes de l’App Engine de Google.

Le chercheur de sécurité en herbe a alors pris conscience que les paramètres de sécurité n’étaient pas correctement configurés, contrairement à ceux des autres serveurs Google qu’il avait déjà tenté de pirater. En effectuant cette manipulation, Pereira a pu se connecter au site web yaqs.googleplex.com sans même entrer ses identifiants.

Une fois connecté, la page principale l’a aussitôt redirigé vers une page contenant différents liens vers les services et infrastructures Google, mais aussi et surtout une inscription «  Google Confidential ». Plutôt que de poursuivre son exploration, le jeune homme a préféré signaler immédiatement cette faille à Google.

Google aurait pu perdre des millions de dollars à cause de cette faille

Google lui a directement répondu pour le prévenir que l’équipe de sécurité de la firme le contacterait dès que la faille aurait été confirmée. Quelques jours plus tard, le lycéen uruguayen a reçu la somme de 10 000 dollars en guise de remerciement.

Google a préféré éviter de communiquer les détails sur les informations que contenait ce site web. En revanche, les équipes de sécurité ont confirmé qu’une variante de cette faille aurait pu permettre d’accéder à des données confidentielles, dont la fuite aurait pu coûter à Google plusieurs millions de dollars.

Si vous souhaitez à votre tour vous lancer dans la recherche de failles Google, n’hésitez pas à consulter le Vulnerability Report Program de la firme de Mountain View. La recherche de bugs et autres vulnérabilités peut s’avérer très rentable. En février 2016, une personne a reçu 25 000 dollars en trouvant une faille sur Chrome.

Au total, en 2016, Google a payé plus de 550 000 dollars aux personnes qui ont trouvé des failles. Cette somme peut paraître colossale, mais elle est finalement une simple bagatelle en comparaison de ce que les vulnérabilités pourraient coûter à l’entreprise.

Réagissez à cet article !
  • Grabo20

    Pas cher payé. Autant être un bh.

    • crachoveride

      C’est sûr avec l’argent on peut tout faire..

  • Spitfire

    Pff 10 k pour une faille à 10 000 k donc mieux vaux exploiter les failles hein…

Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !
5G : Huawei atteint une vitesse de 20 Gbps, un record !

Huawei vient de battre un record de vitesse en 5G en utilisant deux relais lui permettant d’atteindre la vitesse vertigineuse de 20 Gbps. Bien que cela ne soit pas pour tout de suite dans l’hexagone, on peut dans tous les cas apprécier les efforts du constructeur pour nous permettre d’atteindre des vitesses de connexions élevées.

b0adedfdec1b7af207072fe7dcbf1644CCC