Програміст з Росії виявив серйозну уразливість в YouTube

21-річний програміст з Казані Каміль Хісматуллін виявив уразливість на YouTube, яка дозволяє видалити всі ролики з відеохостингу. Про це він розповів у своєму блозі 31 березня. Випадок привернув увагу західних ЗМІ, зокрема 3 квітня про це повідомили BBC News.

Уразливість була виявлена ​​в системі YouTube Creator Studio — сервісу, який дозволяє авторам переглядати аналітику про їх відео, завантажених через додаток. Через бага будь ролик міг бути вилучений за півхвилини за допомогою копіювання частини адресному посилання відео і аутентификационного маркера (або токена), який працює як пароль, повідомляє lenta.ru.

Проблема полягала в тому, що система сприймала будь аутентифікаційний маркер, тоді як за правилами вона повинна розпізнавати тільки токен, який належить аккаунту користувача, який завантажив відео. Тому копіювання будь-якого токена дозволяло видалити ролики інших користувачів без будь-яких труднощів.

За словами програміста, виявлення бага зайняло від 6 до 7 годин. Замість того щоб видаляти ролики з відеохостингу, в тому числі кліпи популярного у тінейджерів виконавця Джастіна Бібера, як пожартував сам Хісматуллін, він вирішив заявити про баге самої компанії. Він написав Google, яка є власником YouTube, про уразливість в рамках запущеної в січні програми компанії з пошуку вразливостей в її сервісах (Vulnerability Research Grants). Інтернет-гігант відповів негайно.

У кінцевому рахунку Google усунула несправність протягом декількох годин, а сам він отримав винагороду п’ять тисяч доларів, написав програміст. «І на щастя, жодне відео Бібера не постраждало», — додав Хісматуллін.

За задумом Vulnerability Research Grants, інтернет-гігант вибирає людей, які раніше регулярно сповіщали Google про проблеми в її сервісах. В рамках програми компанія пропонує програмістам робити те ж саме, але вже за гроші. Гранти на увазі виплати в розмірі від 500 до суми понад 3 тисяч доларів. Раніше, як активний повідомник про баги Google, Хісматуллін отримав 1337 доларів.



« »

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>