Google récompense les étudiants qui découvrent des vulnérabilités de sécurité avec jusqu'à 10 000 $

Google a accordé 10 000 dollars à un lycéen après avoir découvert une vulnérabilité de sécurité que des pirates pourraient utiliser pour accéder à des données confidentielles et les voler.

Google offre une énorme récompense à quiconque découvre et signale une vulnérabilité de sécurité à l'entreprise.

Selon Neowin, Ezequiel Pereira (Uruguay) a expliqué dans un article de blog qu'un jour, alors qu'il s'ennuyait, il a découvert un bug dans Google. Plus précisément, Pereira a tenté de modifier l'en-tête Host des requêtes adressées au serveur Google App Engine à l'aide de Burp, un outil permettant de tester la sécurité des applications web.

La plupart des tentatives de Pereira ont échoué, principalement à cause du message « 404 : Introuvable » ou de la vérification par Google de son compte Google. Cependant, lorsque l'étudiant a essayé un autre site web, aucune mesure de sécurité n'était en place. Le site redirigeait Pereira vers diverses sections liées aux services et à l'infrastructure de Google.

En creusant plus profondément, Pereira a découvert une section intitulée « Google Confidential ». Après avoir fait cette découverte, Pereira a signalé le problème à Google. Quelques heures plus tard, il a reçu une réponse de l'entreprise confirmant le bug. Dans une notification envoyée à Pereira par Google, l'entreprise indiquait que le site contenait des informations techniques sur les serveurs Google, mais rien de vraiment important.

Cependant, quelques semaines plus tard, Pereira a reçu un rapport montrant que sa découverte était très importante, lorsque Google a informé Pereira qu'il recevrait 10 000 $ via le programme de récompense de vulnérabilité (VRP) pour son rapport de sécurité.

Pereira a été heureux de confirmer que Google a résolu le problème, ce qui a aidé l'entreprise à découvrir la vulnérabilité qui permettait aux attaquants d'accéder à des données sensibles.

Selon TNO