Google récompense les étudiants qui découvrent des vulnérabilités de sécurité avec jusqu'à 10 000 $

Google a accordé 10 000 dollars à un lycéen après avoir découvert une vulnérabilité de sécurité que des pirates pourraient utiliser pour accéder à des données confidentielles et les voler.

Google offre une énorme récompense à quiconque découvre et signale une vulnérabilité de sécurité à l'entreprise.

Selon Neowin, Ezequiel Pereira (Uruguay) a expliqué dans un article de blog qu'un jour, alors qu'il s'ennuyait, il a découvert un bug chez Google. Plus précisément, Pereira a tenté de modifier l'en-tête Host des requêtes adressées au serveur Google App Engine via Burp, un outil utilisé pour tester la sécurité des applications web.

La plupart des tentatives de Pereira ont échoué, principalement à cause de messages « 404 : Introuvable » ou de la vérification par Google de son compte Google. Cependant, lorsque l'étudiant a essayé un autre site web, aucune mesure de sécurité n'était en place. Le site redirigeait Pereira vers diverses sections relatives aux services et à l'infrastructure de Google.

En creusant plus profondément, Pereira a découvert une section intitulée « Google Confidentiel ». Après avoir découvert le problème, Pereira l'a signalé à Google. Quelques heures plus tard, il a reçu une réponse de l'entreprise confirmant l'erreur. Dans sa notification, Google indiquait que le site contenait des informations techniques sur ses serveurs, mais rien de vraiment important.

Cependant, quelques semaines plus tard, Pereira a reçu un rapport montrant que sa découverte était très importante, lorsque Google a informé Pereira qu'il recevrait 10 000 $ via le programme de récompense de vulnérabilité (VRP) pour son rapport de sécurité.

Pereira a été heureux de confirmer que Google a résolu le problème, ce qui a aidé l'entreprise à découvrir la vulnérabilité qui permettait aux attaquants d'accéder à des données sensibles.

Selon TNO