vole des données dans des site e-commerces

Attention, il s’agit d’une nouvelle technique en vogue chez les cybercriminels pour voler discrètement les données bancaire des clients en ligne. Le formjacking a déjà touché des sites e-commerce et fait des victimes…

Des chercheurs en sécurité informatique chez Symantec mettent en garde contre des codes malveillants implémentés sur les sites e-commerce capable de dérober furtivement les coordonnées bancaires saisies par les clients en ligne.

Le « formjacking » est une technique basée sur l’injection d’un script malveillant directement sur les sites e-commerce ciblés. Symantec en fait état dans son dernier rapport annuel sur les cyberattaques et met en garde les entreprises et les consommateurs sur cette grave menace.

D’après Symantec, il y aurait actuellement plus de 4 800 sites Web qui seraient compromis chaque mois et infectés par des codes malveillants de ce type. Les statistiques de cette société de sécurité informatique montrent par ailleurs que leurs solutions ont bloqués plus de 3,7 millions d’attaques par formjacking sur l’ensemble de l’année 2018.

« Les attaques par ransomware et cryptojacking n’étant plus aussi rentables qu’auparavant, les cybercriminels se tournent désormais vers des méthodes alternatives plus lucratives comme le formjacking », explique Symantec.

En français, la technique serait assimilée à un « vol de formulaire ». Elle est particulièrement dangereuse car si elle est bien réalisée, elle est quasiment indétectable, tant pour le consommateur que pour le e-commerçant… La copie des données bancaires vers l’extérieur n’empêche par ailleurs pas la transaction de se dérouler correctement et donc de finaliser la commande. De plus, la présence d’une connexion sécurisée en HHTPS / SSL ne protège pas contre la menace puisque les cybercriminels ont accès directement au code source du site légitime !
PIA VPN

Le procédé aurait déjà rapporté des dizaines de millions de dollars aux cybercriminels en 2018, comme l’illustre parfaitement le piratage du site officiel de British Airways en septembre dernier : 17 millions de dollars de gains à la clé pour les cybercriminels !

Pour l’instant, les Etats-Unis concentrent le maximum d’attaques via formjacking (plus de 33 %), suivi de la Belgique et de l’Australie. La France ne représente pour l’instant que 1 % des attaques.

Source: undernews

Facebook récompensé par une prime de 25 000 $ pour avoir signalé une vulnérabilité de CSRF

Facebook traverse déjà une période difficile depuis le scandale Cambridge Analytica. Néanmoins, leur vigilance à l’égard de la sécurité de leur plate-forme est une bonne nouvelle pour les chasseurs de primes. En particulier, après ce rapport, de nombreux chercheurs de primes à la recherche de bogues seraient heureux de détecter les vulnérabilités de la plateforme Facebook. Un pirate informatique a découvert une vulnérabilité CSRF critique rendant les comptes Facebook vulnérables aux attaques. Facebook a reconnu ses efforts avec une prime de 25 000 $.

Vulnérabilité de CSRF critique découverte dans Facebook
Récemment, un chasseur de primes de bogues, Youssef Sammouda, a découvert un bogue critique de falsification de requêtes intersites sur la plate-forme Facebook. Cette vulnérabilité CSRF pourrait permettre à un attaquant de prendre le contrôle de comptes sans effort.

Sammouda a détaillé les détails de ses découvertes dans un article de blog. Expliquant au sujet de la faille, il a écrit,

« Cela est possible grâce à un noeud final vulnérable qui prend un autre noeud final Facebook sélectionné par l’attaquant avec les paramètres et lui envoie une demande POST après l’ajout du paramètre fb_dtsg. »

Le point de terminaison vulnérable, comme indiqué, était https://www.facebook.com/comet/dialog_DONOTUSE/?url=XXXX. Ici, XXXX désigne le paramètre servant à la demande POST.

Selon Sammouda, la vulnérabilité existait dans le terminal situé sous le domaine “www.facebook.com”. Ainsi, il est devenu plus facile pour un attaquant potentiel d’exploiter la faille. Un attaquant pourrait simplement pirater des comptes Facebook en incitant simplement les victimes à cliquer sur un lien malveillant.

En fait, le pirate informatique lui-même a démontré une gamme de fonctions qu’il pourrait remplir en exploitant ce lien. Cela inclut la publication d’un scénario, la suppression de la photo de profil ou même l’incitation à supprimer le compte par l’utilisateur.

Expliquant davantage l’exploit, il a expliqué que le même lien pourrait être utilisé pour prendre en charge des comptes. Il suffisait d’ajouter un nouveau numéro de téléphone et une nouvelle adresse électronique au compte cible.

Facebook récompensé d’une prime de 25 000 $
Peut-être que gagner une grosse somme de 25 000 $ à titre de prime pour avoir signalé un seul bogue n’est pas chose facile. Cependant, il semble que Facebook ait compris le caractère critique de la vulnérabilité signalée par Sammouda. Comme il l’a écrit dans son blog, cette vulnérabilité pourrait laisser un attaquant prendre le contrôle de tout compte aléatoire.

« L’attaque semble longue mais c’est fait en un clin d’œil et c’est dangereux, car elle ne cible pas un utilisateur spécifique, mais toute personne visitant le lien »

En termes simples, cette vulnérabilité du CSRF avait placé presque tous les comptes Facebook au bord du piratage. Merci à Sammouda pour avoir rapidement signalé la faille à Facebook. De plus, Facebook a agi rapidement pour corriger la faille dans les cinq jours suivant le rapport initial.

Bien que, le récent rapport souligne une faille de sécurité critique que Facebook a corrigée à temps. Cependant, ce n’est pas la première fois que Facebook doit faire face à une vulnérabilité critique. L’année dernière, nous avons entendu parler de nombreux cas où des bogues Facebook ont exposé des photos d’utilisateurs et déclenché des piratages de compte par millions.

Trojans ciblant Android diffusés via Instagram, YouTube et Google Play

Les experts de Doctor Web détectent de plus en plus de Trojans de la famille Android.HiddenAds sur Google Play. Ces malwares sont conçus pour afficher des publicités intempestives. Depuis le début du mois de février, 39 nouvelles modifications de ces applications malveillantes ont été détectées et plus de 10 000 000 utilisateurs ont téléchargé ces applis. Certains de ces Trojans sont diffusés par les pirates via Instagram et YouTube. La publicité diffusée via les réseaux sociaux et les ressources Internet populaires augmente considérablement le nombre de victimes potentielles de ces applications malveillantes.

Alerte Doctor Web – Au cours du mois de février, les analystes ont repéré sur Google Play 39 nouvelles modifications des Trojans de la famille Android.HiddenAds. Elles ont été dissimulées derrière des applications utiles et inoffensives : des applications photo, des éditeurs d’images et de vidéos, des collections de fonds d’écran, des utilitaires système, des jeux et d’autres logiciels. Au total, les applications malveillantes ont été téléchargées par au moins 9 940 305 utilisateurs. Doctor Web a signalé à Google Inc. les Trojans détectés, mais au moment de la publication de cette alerte, certains d’entre eux sont encore disponibles en téléchargement.

La fonction principale des applications malveillantes Android.HiddenAds est l’affichage de publicités. Elles affichent en permanence des fenêtres avec des bannières et des publicités vidéo, qui couvrent les fenêtres des autres programmes et l’interface système, ce qui empêche l’utilisation normale des appareils. Voici un exemple de cette publicité :

Le fait que les Trojans affichent leurs bannières presque en permanence permet aux pirates de rembourser rapidement leurs frais liés à la promotion de leurs malwares via des services Internet populaires.

Pour rester aussi longtemps que possible sur les Smartphones et tablettes, les Trojans Android.HiddenAds masquent leurs icônes de la liste des applications sur l’écran principal. Ainsi, ils ne peuvent pas être relancés mais il devient plus difficile de les trouver et de les supprimer. De plus, avec le temps, les utilisateurs oublient quelles applications ont été installées, ce qui augmente encore la durée de vie de ces Trojans sur les appareils contaminés.

Presque tous les malwares de type Android.HiddenAds détectés en février masquent également leurs icônes sur l’écran principal mais la remplacent par un raccourci permettant de les lancer. Sans doute, les auteurs des Trojans aient tenté de détourner les soupçons de leurs malwares et de minimiser la probabilité de leur suppression. Contrairement aux icônes présentes sur l’écran d’accueil, les raccourcis ne permettent pas de supprimer des applications à l’aide du menu contextuel. Par conséquent, si un utilisateur inexpérimenté tente de supprimer le malware à l’aide de l’icône, il supprime uniquement une icône. Le Trojan demeure sur l’appareil et continue à fonctionner de manière cachée afin de rapporter des gains aux pirates.

Un grand nombre de ces applications malveillantes ont été installées par les propriétaires de Smartphones et tablettes Android après avoir vu une publicité sur Instagram et YouTube dans laquelle les pirates proposent d’offrir de puissants outils de traitement de photos et vidéos. À première vue, les chevaux de Troie correspondent à la description de ces outils et n’éveillent pas de soupçons. En réalité, à l’exception d’une ou plusieurs fonctions basiques, les applis ne contiennent aucune des fonctionnalités promises. C’est ce que les utilisateurs trompés écrivent dans leurs avis sur les logiciels concernés.

La campagne publicitaire très active réalisée par les pirates attire un grand nombre d’utilisateurs et augmente la quantité de téléchargements des logiciels malveillants. Certains de ces chevaux de Troie figurent dans la section dédiée aux nouveautés et aux applications les plus populaires sur Google Play, ce qui entraîne une croissance du nombre d’installations.

Toutes les informations sur les Trojans détectés par nos experts à l’heure actuelle sont réunies dans le tableau récapitulatif. Cependant, étant donné que les cybercriminels créent constamment de nouvelles modifications d’Android.HiddenAds et qu’ils les promeuvent activement, il faut s’attendre à voir d’autres malwares de ce type circuler sur la toile.

Il est recommandé aux utilisateurs d’effectuer une analyse complète de leurs appareils avec Dr.Web Antivirus pour Android et de supprimer les chevaux de Troie détectés.

Les propriétaires de Smartphones et tablettes doivent se méfier des annonces publiées sur Internet et ne pas télécharger les programmes proposés même si ces derniers sont diffusés via Google Play. Seules les applications des éditeurs connus peuvent être installées, il est également important de prendre en considération les avis laissés par d’autres utilisateurs.

plus d’infos undernews

Le protocole sécurisé SSL (Cours)

Cours Le protocole sécurisé SSL gratuit en PDF

Les trois systèmes de sécurisation SSL, SSH et IPSec présentés dans un chapitre précédent reposent toutes sur le même principe théorique : cryptage des données et transmission de la clé à distance. Nous allons détailler dans ce chapitre les principes théoriques sur lesquels ces solutions reposent puis plus en détail un de ces protocoles, à savoir SSL.

Tutoriel Le protocole sécurisé SSL 1 Tutoriel Le protocole sécurisé SSL 2
Exemples des pages de cours

Résumé sur les bons cours et tutoriels avec la catégorie Sécurité informatique

Il est jamais trop tard pour commencer à apprendre et il serait dommage de rater une occasion d’apprendre un cours qui peut si utile comme Le protocole sécurisé SSL surtout quand il est gratuit! Vous n’êtes pas obligé de vous inscrire pour les classes coûteuses et les voyages d’une partie de la ville à l’autre pour prendre des cours. Tout ce que vous devez faire est de télécharger le cours de BestCours et ouvrir le fichier PDF. Ce programme spécifique est classé dans la catégorie Sécurité informatique où vous pouvez trouver quelques autres cours similaires.

Le cours comprend tutoriel qui est ajusté pour les utilisateurs débutants de niveau qui le rendent facile à apprendre et en fait assez amusant et divertissant. Apprendre n’a jamais été aussi simple et facile.

Heureusement, de plus en plus de gens sont prêts à partager leur expérience et de connaissances avec les autres et ils ne veulent pas de compensation pour cela. Le cours Le protocole sécurisé SSL est entièrement gratuit et l’auteur ne veut pas de compensation. Comme mentionné précédemment, vous pouvez faire des recherches et trouver d’autres cours attrayants PDF aussi.

le-protocole-securise-ssl pdf

Firefox pour iOS offre maintenant la navigation privée persistante avec Firefox 15

La navigation privée sur les smartphones a toujours été un problème. Il est difficile de revenir à la session précédente si vous devez fermer la fenêtre du navigateur pour une raison quelconque. Cependant, Mozilla semble résoudre ce problème avec la dernière version de Firefox pour iOS. Avec Firefox 15, les utilisateurs iOS peuvent profiter de la navigation privée de manière persistante jusqu’à la fermeture manuelle de leurs sessions.
Nouveau Firefox pour iOS permet la navigation privée continue

Mozilla a prévu de faciliter la navigation sécurisée des utilisateurs iOS. Comme annoncé, la dernière version de Firefox pour iOS propose aux utilisateurs d’iPhone et d’iPad de continuer à naviguer en mode privé.

Comme décrit par Mozilla, Firefox 15 pour iOS permettra aux utilisateurs de rester en mode de navigation privée.

« Firefox pour iOS se souvient maintenant de l’activation du mode de navigation privée afin que tous les nouveaux onglets que vous ouvrez via l’extension Partager ou la barre du Presse-papiers s’ouvrent dans le dernier mode de navigation. »

Auparavant, il était difficile pour les utilisateurs de revenir à leurs sessions de navigation privées au cas où ils devraient fermer la fenêtre du navigateur. Cependant, avec Firefox 15, les utilisateurs peuvent continuer à naviguer en privé sauf s’ils quittent activement le navigateur Firefox.
Est-ce tout utile?

Bien que la nouvelle fonctionnalité de navigation privée persistante semble être une tentative de faciliter les utilisateurs. Cela vous évitera des connexions répétées et l’établissement de nouvelles sessions de navigation si un utilisateur doit quitter Firefox pour une raison quelconque.

Toutefois, cela peut également constituer une menace pour la vie privée de l’utilisateur en cas d’accès physique accidentel au périphérique. Auparavant, quitter le navigateur mettrait fin à toutes les sessions de navigation privées. Mais maintenant, les utilisateurs peuvent avoir à se rappeler de quitter le navigateur activement pour fermer la navigation privée. Sinon, toute autre personne ayant un accès physique à l’appareil peut assister aux sessions de navigation. De même, les utilisateurs peuvent avoir besoin de temps pour s’habituer à la nouvelle fonctionnalité.

En plus du lancement de la navigation privée persistante, Firefox 15 pour iOS est également doté de paramètres de menu et d’onglets améliorés. Les utilisateurs peuvent désormais réorganiser les onglets selon leurs besoins.

Des chercheurs exploitent Intel SGX pour dissimuler des logiciels malveillants

Une équipe de chercheurs a découvert un moyen d’exécuter du code malveillant sur des systèmes dotés de puces Intel, de telle sorte qu’un logiciel antivirus ne puisse pas le détecter.

Lorsque le géant des puces a publié ses processeurs Skylake en 2015, la société a intégré une nouvelle fonctionnalité appelée Software Guard eXtensions (SGX), qui permet aux développeurs d’isoler les applications à l’intérieur des enclaves sécurisées.

Les enclaves fonctionnent dans une partie de la mémoire de traitement de la CPU isolée du matériel, où les applications peuvent effectuer des opérations traitant de détails sensibles tels que des clés de cryptage, des mots de passe, des données utilisateur, etc.

Intel lance un réseau de neurones sur un bâton
Les menaces de logiciels malveillants continuent d’augmenter et ciblent l’IdO
Un demi-milliard d’utilisateurs Android ont téléchargé des logiciels malveillants depuis le Play Store

Les chercheurs Michael Schwarz, Samuel Weiser et Daniel Gruss (qui ont contribué à découvrir l’attaque Specter de l’année dernière) ont publié un article expliquant comment ils ont pu utiliser les enclaves SGX pour masquer les programmes malveillants indétectables par les solutions de sécurité actuelles.

Enclaves malveillantes

Intel a rendu difficile la création et le chargement d’un enclave malveillant en imposant à SGX d’accepter et de lancer uniquement les enclaves signées avec une clé de signature figurant dans une liste blanche interne de clés approuvées.

Bien que ces clés ne soient généralement attribuées qu’à des développeurs approuvés, les chercheurs ont découvert quatre méthodes permettant à un attaquant d’accéder à une clé de signature pour signer une enclave illicite. Une enclave malveillante aurait toujours des difficultés à infecter un système car les enclaves SGX sont limitées à quelques commandes et n’ont pas accès aux opérations effectuées par un système d’exploitation local.

Cependant, les chercheurs ont pu contourner cette limitation en utilisant une technique d’exploitation de la programmation orientée vers le retour (ROP) pour s’aligner sur le Intel Transcational Synchronization eXtensions (TSX). Cela donnait à l’enclave l’accès à un ensemble de commandes plus large que la normale pouvant être utilisé pour mener une attaque.

Bien que l’équipe ait exploité SGX pour exécuter du code malveillant à des fins de recherche, la découverte a d’énormes implications en matière de cybersécurité puisque les produits de sécurité actuels ne sont pas équipés pour détecter les logiciels malveillants s’exécutant dans une enclave SGX.

Le document de recherche intitulé «Malware Enclave Pratique avec Intel SGX» a été publié et mérite certainement une lecture pour ceux qui veulent en savoir plus.

Source:Arstechica

Google apporte la meilleure fonctionnalité d’Android à l’iPhone

Le comble des guerres de fanboy sous Android-iOS sont des années dans le passé. Les deux systèmes d’exploitation en duel ont plus ou moins convergé vers une compétence uniforme et fade, et l’âge de l’application exclusive pour iOS exclusivement réservée à la hanche est révolu. Une différence minuscule mais cruciale qui subsiste encore est la vibration haptique sur le clavier virtuel: Android l’a et iOS non.

Mais une récente mise à jour du clavier Gboard de Google permet également de combler cet écart. Selon 9to5Google, une mise à jour du clavier virtuel apportera des vibrations de style Android au clavier iOS; c’est-à-dire un petit bourdonnement après chaque pression.

C’est une fonctionnalité qui n’a jamais été disponible sur le clavier par défaut de l’iPhone et uniquement sous une forme limitée avec la plupart des claviers tiers pris en charge par iOS depuis iOS 8. Clavier classique retour haptique pour certaines touches.

Le nouveau Gboard change cela (pour les utilisateurs avec un iPhone 7 et plus). En résumé, le retour haptique est une caractéristique relativement superflue. Vous pouvez utiliser un téléphone aussi bien sans lui.

Mais pour les utilisateurs d’Android de longue date comme moi, un téléphone sans vibrations sur son clavier peut sembler étrangement étranger. Aussi bête que cela puisse paraître, c’est l’une des raisons pour lesquelles je n’ai jamais envisagé sérieusement de sauter d’un navire à l’autre. Et bien que cela ne suffira pas à me faire changer d’allégeance, je suis heureux que mes amis de l’autre côté de la division mobile aient la chance de vivre la gloire d’un retour haptique de tous les médias.

Source: 9to5google

Les logiciels malveillants bancaires continué de frapper la plateforme Android

Entretien avec Lukáš Štefanko, chercheur sur les logiciels malveillants chez ESET, à propos du logiciel malveillant bancaire Android, le sujet de son dernier livre blanc

Les logiciels malveillants bancaires ont continué de frapper la plateforme Android tout au long de 2018, les cybercriminels ciblant sans relâche les utilisateurs possédant des chevaux de Troie bancaires et de fausses applications bancaires, mais expérimentant également de nouvelles techniques de vol d’argent.

Pour aider les utilisateurs à naviguer dans le paysage complexe et en pleine expansion des menaces Android, Lukáš Štefanko, chercheur en logiciels malveillants chez ESET, met en lumière les types, les tactiques et les techniques les plus répandus parmi les logiciels malveillants bancaires d’aujourd’hui dans son livre blanc intitulé «Logiciels malveillants bancaires Android: Chevaux sophistiqués». Faux applications bancaires ».

Logiciels malveillants bancaires Android: chevaux de Troie sophistiqués et applications bancaires factices

Télécharger le document de recherche
ESET_Android_Banking_Malware

Nous nous sommes assis avec Lukáš Continuer la lecture de « Les logiciels malveillants bancaires continué de frapper la plateforme Android »

comment choisir un fournisseur de réseaux Privé (VPN) en 2019

Avec la croissance constante de la cybercriminalité et de la surveillance sur Internet, les services de réseau privé virtuel jouissent d’une grande popularité. Le marché offre aujourd’hui un grand choix de VPN. Certains d’entre eux sont payants, d’autres fournisseurs comme Turbo VPN sont gratuits. Cependant, comment savoir avec certitude si un VPN vaut la peine d’être utilisé?

Voici la liste des fonctionnalités VPN qu’un client prudent devrait prêter attention aux éléments suivants:

Cryptage robuste

Aujourd’hui, tous les fournisseurs avancés utilisent la méthode de cryptage 256 bits. Il est considéré comme extrêmement robuste. Ni les escrocs ni l’ordinateur le plus rapide du monde ne sont capables de le décoder. Le cryptage est fourni par les protocoles VPN. Les principaux protocoles VPN sont OpenVPN, L2TP / IPSec, SSTP, IKEv2, PPTP. Il existe également des protocoles de pointe, tels que SoftEther et WireGuard. En parlant de sécurité, OpenVPN s’est imposé comme le protocole le plus fiable. Alors que PPTP est le moins fiable. Cependant, le plus rapide.
Aucune politique de journalisation

L’objectif principal d’un VPN est de cacher les données les plus privées aux regards indiscrets. Les internautes doivent s’assurer qu’un VPN ne sauvegarde pas non plus leurs données. Aujourd’hui, presque tous les fournisseurs de VPN déclarent ne sauvegarder aucun journal. Cependant, ce n’est pas toujours la vérité. À cet égard, il est extrêmement important de lire attentivement la politique de confidentialité d’un service VPN.

Service client fiable

Malheureusement, ce facteur est très souvent négligé mais extrêmement important. Il est recommandé de choisir un VPN avec un service client 24h / 24 et 7j / 7. L’affaire est que les VPN changent généralement, un client doit avoir la possibilité de résoudre un problème à tout moment. Les e-mails et les billets peuvent prendre des heures, un VPN offrant une discussion en direct est indispensable.

Large parc de serveurs

L’un des facteurs décisifs lors du choix d’un fournisseur est le nombre de serveurs qu’il possède. Si une personne doit voyager ou vivre dans un pays moins peuplé, il est extrêmement important d’opter pour un VPN avec des serveurs situés à proximité.

Mode de paiement

Pour les personnes qui prennent au sérieux leur vie privée sur Internet, les méthodes de paiement jouent un rôle crucial. Certains fournisseurs de VPN proposent des méthodes de paiement anonymes telles que le Bitcoin ou les cartes-cadeaux. Si le prix vous pose problème, envisagez d’utiliser un VPN offrant des coupons ou des réductions. Une garantie de remboursement est un excellent moyen de vous assurer que vous pouvez refuser d’utiliser un VPN si vous n’êtes pas satisfait du service.

vpn

Bien entendu, il existe également des facteurs tels que la vitesse de connexion, l’interface et les plates-formes prises en charge. Tout d’abord, un utilisateur débutant devrait comprendre pourquoi il a besoin d’un VPN. Pour ceux qui vont utiliser un VPN à la maison, il est préférable de trouver un VPN basé sur un routeur avec plusieurs connexions. Si une personne envisage de regarder des émissions de télévision utilisant des services de diffusion en continu, il est préférable de faire attention aux fonctionnalités telles que la haute vitesse, la bande passante illimitée et une connexion stable. D’une manière ou d’une autre, un VPN est l’outil idéal pour modifier une adresse IP réelle et rester privé tout en surfant sur le Net.

Google révèle combien ils ont payé en 2018 dans le cadre de leur programme Bug Bounty

En 2010, Google a lancé son programme VRP (Vulnerability Reward Program) pour les aider à identifier les bugs et autres problèmes liés à leurs applications et à leurs logiciels. L’année dernière (2018), Google a versé 1,7 million de dollars à des chercheurs en sécurité qui ont découvert des bogues dans les systèmes Android et Chrome. Ils ont également payé un montant similaire aux fabricants qui ont trouvé des défauts dans d’autres produits.

Programme de récompense de vulnérabilité
Le programme a été conçu pour aider Google à identifier les failles de ses systèmes et à encourager les chercheurs à signaler les problèmes avant qu’ils ne puissent être exploités. Les récompenses financières pour le signalement de ces bogues vont de 100 à 200 000 dollars, en fonction du niveau de risque de la faille.

Au total, Google a déclaré avoir versé 3,4 millions de dollars de récompenses en 2018, dont 1,7 million de dollars pour les vulnérabilités découvertes dans Android et Chrome. Google a déclaré que le programme avait déboursé 15 millions de dollars depuis son lancement en 2010.

Exemples de succès de chercheurs
Google a fourni quelques exemples des travaux réalisés par les chercheurs dans le cadre de ce programme et des découvertes qu’ils ont découvertes cette année.

Ezequiel Pereira, un chercheur uruguayen de 19 ans, a découvert un bogue d’exécution de code à distance. Ce bogue lui permettait d’accéder à distance à la console Google Cloud Platform.

Un autre insecte a été découvert par Tomasz Bojarski de Pologne. Il a découvert un bogue lié au Cross-Site Scripting (XSS) qui pourrait permettre à un pirate informatique de modifier le comportement d’un site Web. Il pourrait également voler des données et effectuer des actions pour le compte de quelqu’un. Google a déclaré que Tomasz avait été son meilleur chasseur de bogues l’an dernier et a utilisé son argent de récompense pour ouvrir un lodge et un restaurant.

Dzmitry Lukyanenka est un chercheur biélorusse qui a perdu son emploi. Il a donc décidé de chasser les insectes à plein temps. Il a ensuite rejoint le programme de subventions VRP de Google, qui soutient financièrement les chasseurs de bogues prolifiques.

Le programme de récompenses est un grand succès pour Google depuis son lancement en 2010, et il semble que cela continue