En début d'année, Google a lancé un programme de subventionnement expérimental à destination des hackers white hat. Pour leur travail et temps passé sur des vulnérabilités, ces chercheurs en sécurité informatique sont rémunérés même s'ils ne dénichent rien au final.

Kami Hismatullin a pris part à ce programme Vulnerability Research Grants et a bel et bien déniché un très gros bug touchant YouTube. Alors qu'il était parti en quête de vulnérabilités de type CSRF (cross-site request forgery) ou XSS (cross-site scripting) affectant l'application mobile pour les créateurs YouTube Creator Studio, le hacker russe a découvert un bug facilement exploitable et hautement critique.

Via une simple requête, ce bug donnait le pouvoir d'effacer n'importe quelle vidéo sur la célèbre plateforme. Avec humour, Kami Hismatullin dit avoir résisté à la tentation d'effacer des vidéos de la chaîne de Justin Bieber.

Une preuve de concept en vidéo :

  

Rapporté en bonne et due forme à Google, le vilain bug a été corrigé très rapidement et Kami Hismatullin a été rétribué à hauteur de 5 000 dollars. Pas si cher payé que cela compte tenu des gros dégâts qu'il aurait pu occasionner dans des mains malveillantes.

Kami Hismatullin le concède, il avait espéré une rétribution plus consistante entre 15 000 et 20 000 dollars. En début d'année, Facebook a versé 12 500 dollars à un développeur Web pour la découverte d'un bug permettant d'effacer " toutes " les photos sur le réseau social. La faille nécessitait de connaître l'identifiant de l'album de photos pris pour cible et une autorisation de consultation de celui-ci dans les paramètres de confidentialité.

Source : BBC