A Google ezt a felfedezést is a jutalmazási programjának köszönheti: egy orosz biztonsági kutató, Kamil Hismatullin a YouTube-ban fedezett fel súlyos hibát. A kutató, aki korábban már többször is talált pénzt érő sérülékenységeket a Google rendszereiben, a YouTube Creator Studio kapcsán kezdte vizsgálni az XSS (cross-site scripting) és az CSRF (cross-site request forgery) – írta a Biztonságportál.
Eközben azt vette észre, hogy a
https://www.youtube.com/live_events_edit_status_ajax?action_delete_live_event=1
URL felhasználásával bármilyen videót törölhetne a videomegosztóról.
Meglepően egyszerűen működik
Hismatullin a hivatkozás elküldte a YouTube szerverei felé egy session token és a törölni kívánt videó azonosítójával együtt, melyek szó nélkül teljesítették a kérését, és törölték a videót. A sessionazonosító benne volt a letöltődő YouTube weboldal forráskódjában, míg a videó azonosítója kimásolható a videó URL-jéből is.
Ha ezt az egészet automatizálják, ami szintén nem nagy ügy, tömegesen lehetne törölni a megosztón tárolt videókat. Pontosabban lehetett volna, mert amint a Google kézhez kapta a hibabejelentést, pár órán belül be is foltozta a biztonsági rést.
Hismatullin a felfedezéséért ötezer dollárral jutalomban részesült.
A Facebook is átesett ezen
Mint arra a Biztonságportál felhívja a figyelmet, találtak hasonló jellegű hibát más közösségi oldalon is. Februárban derült ki például az a hiba, ami Facebookon albumok jogosulatlan törlésére adott lehetőséget. A Facebook is gyorsan befoltozta a Laxman Muthiyah által feltárt sebezhetőséget, Muthiyah pedig mintegy 12 ezer dollárral lett gazdagabb.
A hiba Facebook Graph API-jában rejtőzött, amely kis trükközéssel rávehető volt arra, hogy bárki törölhessen olyan képeket, amelyeket – a láthatósági beállítások alapján – meg tudott nézni.
Alig egy héttel később jött az újabb hír: a mindössze 19 éves Joe Balhis találta meg azt a hibát, amit szintén nagyon egyszerűen lehetett kihasználni: jelen esetben a facebookos kommentek jogosulatlan törlésére.
Adathelyreállítás pillanatok alatt
A vírus- és végpontvédelmet hatékonyan kiegészítő Zerto, a Hewlett Packard Enterprise Company platformfüggetlen, könnyen használható adatmentési és katasztrófaelhárítási megoldása.
CIO KUTATÁS
TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?
Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »
Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak