Alajos, Leila
20 °C
36 °C

A srác, aki letörölhette volna az egész Youtube-ot

2015.04.03. 16:21
Egy orosz hekker, Kamil Hismatullin alig 6-7 óra alatt felfedezett egy sebezhetőséget a Youtube-on, amit kihasználva bármelyik videót eltüntethette volna az oldalról. Hismatullin nem élt vissza a helyzettel, és tájékoztatta a Google-t, pedig nagyon viszketett a tenyere, hogy letörölje Justin Bieber hivatalos oldalát.

A nagyobb tech cégek, mint a Facebook vagy a Google gyakran fizetnek a szakértőknek, akik sebezhetőséget találnak a szolgáltatásaikban. A Google januárban indította el a saját programját, a Vulnerability Research Grant Rulest, néhány száztól több ezer dollárig terjedő díjazást kínálva a szemfüles programozóknak. Több szem többet lát – így jobb eséllyel előzhetik meg, hogy hozzáférjenek a személyes adatokhoz.

Amit Hismatullin fedezett fel, az valószínűleg példa nélküli:

egy logikai hiba miatt bármelyik videót törölhette volna a Youtube-ról.

Az esetről egy videót is készített; mint kiderült, csak néhány sort kellett módosítania a kódban, hogy bármilyen videót eltüntethessen.

Hismatullin a Youtube Video Creator kódjában turkálva fedezte fel a logikai hibát, amivel törölhette volna az összes videót a Youtube-ról. Ki is próbálta, hogy működik-e: 

 

POST https://www.youtube.com/live_events_edit_status_ajax?action_delete_live_event=1

event_id: ANY_VIDEO_ID

session_token: YOUR_TOKEN

 mire válaszként azt kapta, hogy 

{

  "success": 1

}

, vagyis a művelet sikerült. 

A Google 5000 dollár jutalmat fizetett a hekkernek. Nem tűnik soknak, de Hismatullin csak 6-7 órát matatott a kódban, mire felfedezte a hibát, és további négy órát vett igénybe, hogy legyőzze a kísértést, és törölje Justin Bieber videócsatornáját. Miután jelentette az esetet, a Google villámgyorsan felvette vele a kapcsolatot, és néhány órán belül kijavították a hibát.