Un cercetator a descoperit o vulnerabilitate foarte grava pe site-ul de video streaming al celor de la Google.

Kamil Hismatulin, cercetator in securitate, a petrecut cateva ore pe YouTube incercand sa descopere cross-site request forgery (CSRF) sau cross-site scripting (XSS).

A descoperit insa un bug mult mai sever ce i-ar fi permis sa stearga toate clipurile de pe YouTube in doar cateva secunde. El a exploatat vulnerabilitatea trimitand un numar de identitate al unui video intr-o cerere de postare. Arata in felul acesta

Bug-ul este similar cu cel de pe Facebook descoperit in luna februarie. Vulnerabilitatea Facebook permitea stergerea oricarei poze de pe site-ul de socializare. Ambele vulnerabilitati reprezentau probleme cu controlul de acest si ambele au aparut in Application Programming Interfaces (APIs) oferit de site.

In ambele cazuri, cercetatorii au descoperit vulnerabilitati ce ar fi putut avea efecte devastatoare pentru site-uri. Hismatulin a si glumit dupa ce a descoperit vulnerabilitatea. "In general, petrec 6-7 ore pentru cercetare, insa acum trebuie luat in considerare ca vreo 2 ore am petrecut incercand sa-mi stopez dorinta de a sterge canalul lui Justin Bieber haha".

El a raportat bug-ul catre Google, iar acestia au reparat rapid vulnerabilitatea. El a fost invitat de catre Google la un program nou, experimental, numit Vulnerability Research Grants, si a primit 5.000 de dolari, maximul permis conform programului.
 

Share articol: