Google : un lycéen pirate les serveurs et gagne 10 000 dollars

Un lycéen uruguayen du nom de Ezequiel Pereira est parvenu à trouver une faille lui permettant de pirater les serveurs de Google. En récompense, la firme de Mountain View lui a offert la somme de 10 000 dollars.

google faille 10 000 dollars lycéen

Google se démène pour renforcer la sécurité de ses différents OS, mais le risque zéro n'existe pas. En novembre dernier, plus de 300 000 smartphones Android avaient été piratés à cause d'une faille Chrome. Par conséquent, la firme incite les utilisateurs à trouver des failles et à les signaler en échange d'argent.

C'est en explorant les services de Google que le jeune Ezequiel Pereira a découvert une faille majeure. Le lycéen s'est aperçu qu'en utilisant Burp Suite, un scanner de vulnérabilités très populaire, il était possible de modifier le « host header » et ainsi d'accéder aux applications internes de l'App Engine de Google.

Le chercheur de sécurité en herbe a alors pris conscience que les paramètres de sécurité n'étaient pas correctement configurés, contrairement à ceux des autres serveurs Google qu'il avait déjà tenté de pirater. En effectuant cette manipulation, Pereira a pu se connecter au site web yaqs.googleplex.com sans même entrer ses identifiants.

Une fois connecté, la page principale l'a aussitôt redirigé vers une page contenant différents liens vers les services et infrastructures Google, mais aussi et surtout une inscription «  Google Confidential ». Plutôt que de poursuivre son exploration, le jeune homme a préféré signaler immédiatement cette faille à Google.

Google aurait pu perdre des millions de dollars à cause de cette faille

Google lui a directement répondu pour le prévenir que l'équipe de sécurité de la firme le contacterait dès que la faille aurait été confirmée. Quelques jours plus tard, le lycéen uruguayen a reçu la somme de 10 000 dollars en guise de remerciement.

Google a préféré éviter de communiquer les détails sur les informations que contenait ce site web. En revanche, les équipes de sécurité ont confirmé qu'une variante de cette faille aurait pu permettre d'accéder à des données confidentielles, dont la fuite aurait pu coûter à Google plusieurs millions de dollars.

Si vous souhaitez à votre tour vous lancer dans la recherche de failles Google, n'hésitez pas à consulter le Vulnerability Report Program de la firme de Mountain View. La recherche de bugs et autres vulnérabilités peut s'avérer très rentable. En février 2016, une personne a reçu 25 000 dollars en trouvant une faille sur Chrome.

Au total, en 2016, Google a payé plus de 550 000 dollars aux personnes qui ont trouvé des failles. Cette somme peut paraître colossale, mais elle est finalement une simple bagatelle en comparaison de ce que les vulnérabilités pourraient coûter à l'entreprise.



Abonnez-vous gratuitement à la newsletter
Chaque jour, le meilleur de Phonandroid dans votre boite mail !
Réagissez à cet article !
Demandez nos derniers articles !
paypal-phishing
PayPal : une attaque phishing menace de vider le compte des utilisateurs en France

PayPal est victime d’une nouvelle campagne de phishing. Comme d’habitude, les pirates reprennent l’interface du service de paiement pour piéger les utilisateurs. En prétextant de sécuriser davantage votre compte, les opérateurs espèrent récupérer vos données bancaires.  Après l’attaque phishing menée…

feu-chargeur
Votre smartphone peut prendre feu à cause de ce simple malware !

Les chercheurs en sécurité de Tencent ont découvert qu’il était possible de mettre le feu, à distance, à un smartphone. Ils ont pour cela conçu un malware, BadPower, qui s’attaque aux chargeurs rapides – qui servent alors de fusible d’allumage……

skimming-carte-bancaire-webn
Fraude à la carte bancaire : le skimming débarque sur le web

La fraude à la carte bancaire évolue. Selon nos confrères du site Ubergizmo, des hackers ont trouvé le moyen d’adapter le skimming, cette technique qui consiste à pirater une carte bleue une fois insérée dans un DAB, pour le web….

zoom-chiffrement-bout-utilisateurs-gratuits
Zoom va chiffrer de bout en bout les visioconférences gratuites

Zoom change d’avis ! Finalement, le service d’appels vidéo va chiffrer de bout en bout les visioconférences de tous les utilisateurs, y compris celles des usagers gratuits. Dès le mois de juillet 2020, l’option sera accessible à tous les internautes en version…