Youtube a eu chaud. Un hacker a mis la main sur une faille qui permet d’effacer toutes les vidéos présentes sur la plateforme vidéo. Toutes. sans exception.
La faille découverte sur youtube aussitôt dévoilée à google
C’est le hacker russe, Kamil Hismatullin, a qui découvert un méchant bug dans un certain type de requêtes « http post » dans YouTube Creator Studio. Pour appuyer ses propos, il a montré dans une vidéo qu’il suffisait d’insérer l’identifiant d’une vidéo et un identifiant de session pour avoir le droit de suppression de cette vidéo. Chose qui semblait assez simple à faire.
Mais le gentil hacker, plutôt que d’effacer toutes les vidéos à aussitôt averti Google, qui n’a pas perdu de temps pour corriger la faille et a dans le même temps versé une récompense de 5000$ à ce hacker russe. Celui-ci avoue être un peu déçu du montant de la récompense. Pour une faille de cette ampleur sur une plateforme comme youtube, il en espérait plutôt entre 15 et 20 000$.
Ce n’est pas la première faille que Kamil Hismatullin dénonce. Il a récemment découvert une faille sur le réseau social facebook, qui aurait pu permettre l’éffacement de toutes les images et facebook de n’importe quel compte facebook, plus généreux, le réseau social lui a versé 12 500$. Peu de temps après une autre faille, sur l’application mobile de Facebook cette fois, lui a permis de toucher une seconde de 10 000$ cette fois.
Il semble en effet que Google soit un peu moins généreux avec les failles découvertes, même avec une faille de cette ampleur, qui aurait pourtant pu vider youtube de tout son contenu !
Vidéo de démonstration de Kamil Hismatullin démontrant la faille découverte