A Google ezt a felfedezést is a jutalmazási programjának köszönheti: egy orosz biztonsági kutató, Kamil Hismatullin a YouTube-ban fedezett fel súlyos hibát. A kutató, aki korábban már többször is talált pénzt érő sérülékenységeket a Google rendszereiben, a YouTube Creator Studio kapcsán kezdte vizsgálni az XSS (cross-site scripting) és az CSRF (cross-site request forgery) – írta a Biztonságportál.

Eközben azt vette észre, hogy a
https://www.youtube.com/live_events_edit_status_ajax?action_delete_live_event=1
URL felhasználásával bármilyen videót törölhetne a videomegosztóról.

Meglepően egyszerűen működik

Hismatullin a hivatkozás elküldte a YouTube szerverei felé egy session token és a törölni kívánt videó azonosítójával együtt, melyek szó nélkül teljesítették a kérését, és törölték a videót. A sessionazonosító benne volt a letöltődő YouTube weboldal forráskódjában, míg a videó azonosítója kimásolható a videó URL-jéből is.

Ha ezt az egészet automatizálják, ami szintén nem nagy ügy, tömegesen lehetne törölni a megosztón tárolt videókat. Pontosabban lehetett volna, mert amint a Google kézhez kapta a hibabejelentést, pár órán belül be is foltozta a biztonsági rést.

Hismatullin a felfedezéséért ötezer dollárral jutalomban részesült.

A Facebook is átesett ezen

Mint arra a Biztonságportál felhívja a figyelmet, találtak hasonló jellegű hibát más közösségi oldalon is. Februárban derült ki például az a hiba, ami Facebookon albumok jogosulatlan törlésére adott lehetőséget. A Facebook is gyorsan befoltozta a Laxman Muthiyah által feltárt sebezhetőséget, Muthiyah pedig mintegy 12 ezer dollárral lett gazdagabb.

A hiba Facebook Graph API-jában rejtőzött, amely kis trükközéssel rávehető volt arra, hogy bárki törölhessen olyan képeket, amelyeket – a láthatósági beállítások alapján – meg tudott nézni.

Alig egy héttel később jött az újabb hír: a mindössze 19 éves Joe Balhis találta meg azt a hibát, amit szintén nagyon egyszerűen lehetett kihasználni: jelen esetben a facebookos kommentek jogosulatlan törlésére.