Hackathon de l'Université de Toronto : Découverte accidentelle d'une vulnérabilité
Un étudiant de l'Université de Toronto, lors de son inscription au hackathon GenAI Genesis 2025, a découvert par hasard une vulnérabilité. Après avoir réinitialisé son mot de passe (son gestionnaire de mots de passe ne l'avait pas enregistré), il a remarqué que le lien de réinitialisation pointait vers une application Firebase. Intrigué, il a essayé quelques techniques courantes d'exploitation de Firebase. Il a découvert que le site Web mettait à jour le statut de la candidature en écrivant l'objet entier de la candidature, et non seulement les champs nécessaires. En exploitant cela, il a réussi à changer le statut de sa candidature en « accepté ». Il a également trouvé une vulnérabilité de fuite d'informations, permettant un accès anticipé aux résultats de la révision, aux informations du réviseur et aux commentaires. La vulnérabilité a depuis été corrigée.
Lire plus