Un hacker a trouvé le moyen d’effacer toutes les vidéos YouTube

Un bug simpliste aurait pu anéantir le catalogue vidéo de Google si un chercheur en sécurité ne l’avait pas alerté. En récompense, celui-ci a reçu 5.000 dollars. Un peu chiche non ?
           

200.1076751.jpg

Imaginez cette scène d’horreur : vous vous connectez sur YouTube et toutes les vidéos de Lolcats que vous aimez tant ont disparu. A jamais. Eh bien sachez que cette catastrophe a bien failli se produire, en raison d’une faille de sécurité critique dans le service de streaming de Google. En essayant de trouver des vulnérabilités dans YouTube Creator Studio, le hacker russe Kamil Hismatullin est tombé sur un bug dans un certain type de requêtes « http post ». Dans une vidéo de démonstration, il montre qu’il suffit d’insérer l’identifiant d’une vidéo et un identifiant de session  – ce qui est facilement récupérable – pour l’effacer immédiatement.

Hacker responsable, Kamil Hismatullin n’a évidemment pas supprimé de vidéos mais alerté Google, qui a immédiatement apporté un correctif au service. La firme a ensuite offert une récompense de 5.000 dollars au chercheur, ce qui a provoqué une petite polémique dans les commentaires de sa note de blog.
Certains estimaient, en effet, que cette somme était bien chiche au regard des dégâts qu’aurait pu provoquer une personne mal intentionnée avec cette faille.

D’ailleurs, Kamil Hismatullin avoue avoir espéré une somme plus importante, plutôt « entre 15.000 et 20.000 dollars ». Facebook, de son côté, se montre plus généreux. En février, le hacker Laxman Muthiyah avait reçu 12.500 dollars pour avoir trouvé une faille permettant d’effacer n’importe quelle photo dans le réseau social. Un mois après, rebelote : il a découvert une faille dans l’appli mobile Facebook et a empoché 10.000 dollars. La morale de l’histoire : il est plus lucratif de hacker Facebook que de pirater Google !  

Source :
Note de blog de Kamil Hismatullin