Программист Камиль Хисматуллин нашёл уязвимость в YouTube, которая позволяет стереть любое видео на этом сервисе – или вообще все до одного. Камиль не стал использовать эту возможность (хотя и шутит, что имел такой соблазн в отношении канала Джастина Бибера), вместо этого он заявил о найденном баге в Google и получил награду в 5000 долларов.

Copy of YoutubeBanner

Это открытие стало результатом запуска Google в январе программы Vulnerability Research Grants, в рамках которой компания предлагает денежные вознаграждения «самым продуктивным искателям уязвимостей».

В феврале Камиль уже получил от компании награду в 1337 долларов, и решил заняться исследованием YouTube Creator Studio. После семи часов изучения системы он «неожиданно нашёл логический баг, который позволяет удалить любое видео с YouTube с помощью всего одного запроса». По словам Камиля, это весьма простая операция. Он выложил видео (что любопытно, на том же самом YouTube), в котором продемонстрировал этот эксплойт в действии.

Как оказалось, любое видео на сервисе можно удалить с помощью YouTube Creator Studio, введя event ID ролика (который можно найти в его веб-адресе) и токен аутентификации, который должен выступать в качестве пароля.

Проблема же заключается в том, что – как выяснилось – для подтверждения запроса на удаление сервис принимает любой токен, а не только тот, что принадлежит аккаунту лица, загрузившего видео. Это означает, что любой человек может просто скопировать токен из своего собственного аккаунта и удалить с его помощью любое видео на YouTube.

Однако Камиль не стал использовать найденную уязвимость и вместо этого сообщил о ней в Google.«Хотя в Сан-Франциско было раннее субботнее утро, команда безопасности Google очень быстро отреагировала на моё сообщение, и уязвимость была закрыта всего за несколько часов, а компания выслала мне вознаграждение в 5000 долларов», рассказывает Камиль.


Добавить комментарий