» Баг, который позволяет стереть все видеоролики с YouTube
07.04.2015 11:39

Баг, который позволяет стереть все видеоролики с YouTube

Источник перевод для gearmix ()

Программист Камиль Хисматуллин нашёл уязвимость в YouTube, которая позволяет стереть любое видео на этом сервисе – или вообще все до одного. Камиль не стал использовать эту возможность (хотя и шутит, что имел такой соблазн в отношении канала Джастина Бибера), вместо этого он заявил о найденном баге в Google и получил награду в 5000 долларов.

Copy of YoutubeBanner

Это открытие стало результатом запуска Google в январе программы Vulnerability Research Grants, в рамках которой компания предлагает денежные вознаграждения «самым продуктивным искателям уязвимостей».

В феврале Камиль уже получил от компании награду в 1337 долларов, и решил заняться исследованием YouTube Creator Studio. После семи часов изучения системы он «неожиданно нашёл логический баг, который позволяет удалить любое видео с YouTube с помощью всего одного запроса». По словам Камиля, это весьма простая операция. Он выложил видео (что любопытно, на том же самом YouTube), в котором продемонстрировал этот эксплойт в действии.

Как оказалось, любое видео на сервисе можно удалить с помощью YouTube Creator Studio, введя event ID ролика (который можно найти в его веб-адресе) и токен аутентификации, который должен выступать в качестве пароля.

Проблема же заключается в том, что – как выяснилось – для подтверждения запроса на удаление сервис принимает любой токен, а не только тот, что принадлежит аккаунту лица, загрузившего видео. Это означает, что любой человек может просто скопировать токен из своего собственного аккаунта и удалить с его помощью любое видео на YouTube.

Однако Камиль не стал использовать найденную уязвимость и вместо этого сообщил о ней в Google.«Хотя в Сан-Франциско было раннее субботнее утро, команда безопасности Google очень быстро отреагировала на моё сообщение, и уязвимость была закрыта всего за несколько часов, а компания выслала мне вознаграждение в 5000 долларов», рассказывает Камиль.



ПОХОЖИЕ ЗАПИСИ


© Gearmix 2013
Права на опубликованный перевод принадлежат владельцам вебсайта gearmix.ru
Все графические изображения, использованные при оформлении статьи принадлежат их владельцам. Знак охраны авторского права распространяется только на текст статьи.
Использование материалов сайта без активной индексируемой ссылки на источник запрещено.

Понравилась статья?
Поделись с друзьями!

x

Комментарии запрещены.