Программист из России научился удалять чужие видео на YouTube

Программист из России научился удалять чужие видео на YouTube

Программист из Казани Камил Хисматуллин обнаружил уязвимость на YouTube, которая позволяет удалить все ролики с видеохостинга. Об этом он рассказал в своем блоге 31 марта. Cлучай привлек внимание западных СМИ, в частности, 3 апреля об этом сообщила BBC News.

Уязвимость была обнаружена в системе YouTube Creator Studio — сервиса, который позволяет авторам роликов просматривать аналитику об их видео, загруженных через приложение. Из-за бага любой ролик мог быть удален за полминуты с помощью копирования части адресной ссылки видео и аутентификационного маркера (или токена), который работает как пароль.

Проблема заключалась в том, что система воспринимала любой аутентификационный маркер, тогда как по правилам она должна распознавать только тот токен, который принадлежит аккаунту пользователя, загрузившего видео. Поэтому копирование любого токена позволяло удалить ролики других пользователей без каких-либо трудностей.

По словам программиста, обнаружение бага заняло от 6 до 7 часов. Вместо того, чтобы удалять ролики с видеохостинга, в частности, клипы популярного у тинейджеров исполнителя Джастина Бибера, как пошутил сам Хисматуллин, он решил заявить о баге самой компании. Он написал Google, которая является владельцем YouTube, об уязвимости в рамках запущенной в январе программы компании по поиске уязвимостей в ее сервисах (Vulnerability Research Grants). Интернет-гигант ответил незамедлительно.

В конечном счете, Google устранила неисправность в течение нескольких часов, а сам он получил вознаграждение в 5 тысяч долларов, написал программист. «И к счастью, ни одно видео Бибера не пострадало», — добавил Хисматуллин.

По задумке Vulnerability Research Grants, интернет-гигант выбирает людей, которые ранее регулярно оповещали Google об проблемах в ее сервисах. В рамках программы компания предлагает программистам делать то же самое, но уже за деньги. Гранты подразумевают выплаты в размере от 500 до свыше 3 тысяч долларов. Ранее, как активному уведомителю о багах Google, Хисматуллин получил 1337 долларов.

Камил Хисматуллин живет в настоящий момент в Казани. В разделе «О себе» в его блоге говорится, что он увлекается научными исследованиями, разработкой программного обеспечения, исследованиями в кибербезопасности, фильмами, ездой на велосипеде.

Добавить комментарий

    • bowtiesmilelaughingblushsmileyrelaxedsmirk
      heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
      winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
      worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
      expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
      disappointedconfoundedfearfulcold_sweatperseverecrysob
      joyastonishedscreamtired_faceangryragetriumph
      sleepyyummasksunglassesdizzy_faceimpsmiling_imp
      neutral_faceno_mouthinnocent