Hack : il sauve YouTube pour une poignée de dollars

Le par  |  11 commentaire(s) Source : BBC
YouTube-logo

Un exploit mis au jour par un hacker russe permettait d'effacer toutes les vidéos de la plateforme YouTube. Pour sa trouvaille dûment rapportée à Google, Kamil Hismatullin a été récompensé à hauteur de 5 000 dollars.

En début d'année, Google a lancé un programme de subventionnement expérimental à destination des hackers white hat. Pour leur travail et temps passé sur des vulnérabilités, ces chercheurs en sécurité informatique sont rémunérés même s'ils ne dénichent rien au final.

Kami Hismatullin a pris part à ce programme Vulnerability Research Grants et a bel et bien déniché un très gros bug touchant YouTube. Alors qu'il était parti en quête de vulnérabilités de type CSRF (cross-site request forgery) ou XSS (cross-site scripting) affectant l'application mobile pour les créateurs YouTube Creator Studio, le hacker russe a découvert un bug facilement exploitable et hautement critique.

Via une simple requête, ce bug donnait le pouvoir d'effacer n'importe quelle vidéo sur la célèbre plateforme. Avec humour, Kami Hismatullin dit avoir résisté à la tentation d'effacer des vidéos de la chaîne de Justin Bieber.

Une preuve de concept en vidéo :

  

Rapporté en bonne et due forme à Google, le vilain bug a été corrigé très rapidement et Kami Hismatullin a été rétribué à hauteur de 5 000 dollars. Pas si cher payé que cela compte tenu des gros dégâts qu'il aurait pu occasionner dans des mains malveillantes.

Kami Hismatullin le concède, il avait espéré une rétribution plus consistante entre 15 000 et 20 000 dollars. En début d'année, Facebook a versé 12 500 dollars à un développeur Web pour la découverte d'un bug permettant d'effacer " toutes " les photos sur le réseau social. La faille nécessitait de connaître l'identifiant de l'album de photos pris pour cible et une autorisation de consultation de celui-ci dans les paramètres de confidentialité.

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1838829
"a été récompensé à hauteur de 5 000 dollars. "... Si la vulnérabilité permet vraiment de tout effacer, on lui a donné l’aumône à ce gars.

"avoir résisté à la tentation d'effacer des vidéos de la chaîne de Justin Bieber." ... Là, par contre, il aurait rendu service à l'Humanité s'il avait cédé à cette tentation
Le #1838834
j'aurais même pu faire un don si il effacait stromae
Le #1838839
C'est abusé, là...

5000, c'est peanuts...
Le #1838843
ouais mais tu sais il y a un pigeon qui se lève tous les matins....

ça devait être son matin !!!
Le #1838847
Bah ça lui servira de leçon, la prochaine fois, il effacera 100.000 vidéos, et Google aura l'air bien con déjà et sera peut-être un peu plus généreux...
Surtout que disons 20.000$ c'est quoi pour Youtube? Le revenu publicitaire de même pas 24H, je parie...
Le #1838849
5000 $ c'est peu
Le #1838863
J'espère qu'il trouvera un autre moyen et qu'il ne se gênera pas pour l'exploiter,
un youtube sans YTP ...
Le #1838887
@tous
Bah vous savez google ne fait pas tant de benefices que cela avec youtube.
preuve: http://www.lesechos.fr/tech-medias/hightech/0204187213474-pourquoi-youtube-ne-rapporte-rien-a-google-1097066.php
.
Et comme dit dans l'article les $5000 sont un bonus. Les hackers sont remuneres regulierement.
.
Mais j'avoue quand meme que $5000 ca me semble peu au regard des degats possibles.
Le #1838912
Ou plus judicieusement, faire monter les enchères ....
Informer d'abord les webmasters de Youtube d'une existence d'une vulnérabilité potentiellement désastreuse pour la plateforme de vidéos en ligne;
Puis, proposer ses services pour résoudre cette faille sur base d'une enveloppe assez élevée.

Le #1838914
mapool a écrit :

j'aurais même pu faire un don si il effacait stromae


FORMIDABLE
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]