Un bug per cancellare ogni video su YouTube, anche quelli dei canali altrui

Un bug per cancellare ogni video su YouTube, anche quelli dei canali altrui

Se siete già sul canale di Justin Bieber su VEVO dobbiamo però placare i vostri animi, il bug è già stato corretto da Google

di pubblicata il , alle 16:19 nel canale Web
Google
 

Un ricercatore di sicurezza russo, Kamil Hismatullin, ha scoperto una vulnerabilità su YouTube che consentiva a chiunque di cancellare qualsiasi video caricato sul sito, anche quelli presenti su canali non propri. Un lavoro di poche ore, avvenuto quasi casualmente, che se fosse arrivato nelle mani sbagliate avrebbe potuto avere un epilogo catastrofico (o estremamente positivo, dipende dai punti di vista).

Hismatullin era alla ricerca di errori CSRF o XSS su YouTube Creator Studio per aggiudicarsi un premio del programma Vulnerability Research Grants. Si tratta di un progetto voluto da Google per spronare la ricerca nell'ambito della sicurezza sui propri servizi, in modo da scovare eventuali vulnerabilità premiando chi di dovere in caso di scoperte infauste.

Ed è così che mentre navigava nel codice del software di Google "indagando le modalità di funzionamento dei sistemi live_events/broadcasting", Hismatullin si è imbattuto in un bug che gli avrebbe permesso di "cancellare qualsiasi video con una semplice richiesta". Lo sviluppatore ha rilasciato anche un video come "proof of concept", dimostrando la validità del suo sistema.

Un'azione potenzialmente fatale per la sicurezza e la percepita affidabilità del servizio di video-sharing per antonomasia, ma che avrebbe potuto avere anche risvolti positivi, come del resto ha affermato ironicamente lo stesso ricercatore: "Ho impiegato circa 6-7 ore per la ricerca se consideriamo anche quel paio d'ore in cui ho combattuto la tentazione di ripulire il canale di Justin Bieber".

Una vulnerabilità estremamente grave, e che avrebbe potuto comportare effetti devastanti sul social network, ma che fortunatamente Google non ha preso sotto gamba sistemandola in alcune ore dalla segnalazione. La sua scoperta è valsa 5 mila dollari in favore di Hismatullin, una cifra forse riduttiva rispetto a quello che è stato evitato, ma che rappresenta il massimo per bug di questo tipo.

"Google mi ha premiato con 5 mila dollari", ha concluso lo sviluppatore, "e per fortuna nessun video di Justin Bieber è stato danneggiato durante il processo".

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

22 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Mandopa03 Aprile 2015, 16:40 #1
Originariamente inviato da: Redazione di Hardware Upgrade
Se siete già sul canale di Justin Bieber su VEVO dobbiamo però placare i vostri animi, il bug è già stato corretto da Google


attendevo che sparissero i canali degli youtuber tipo favij&co.
kamon03 Aprile 2015, 16:43 #2
Originariamente inviato da: Mandopa
attendevo che sparissero i canali degli youtuber tipo favij&co.


Mi hai letto nel pensiero XD, ma prima avrei fatto fuori il gran visir di tutti i canali spazzatura...PewDiePie...
efewfew03 Aprile 2015, 16:49 #3
per le cifre che pagano non è meglio togliersi la soddisfazione di cancellare tutto?

chissà quante ore ci metterebbero comunque a ripristinare una cancellazione totale da parte di un bug così...
Obelix-it03 Aprile 2015, 16:49 #4
Originariamente inviato da: Redazione di Hardware Upgrade
"Ho impiegato circa 6-7 ore per la ricerca se consideriamo anche quel paio d'ore in cui ho combattuto la tentazione di ripulire il canale di Justin Bieber".


MAI combattere una tentazione....

Originariamente inviato da: Redazione di Hardware Upgrade

La sua scoperta è valsa 5 mila dollari in favore di Hismatullin, una cifra forse riduttiva rispetto a quello che è stato evitato

se avesse ripulito certi video, altro che 5.000 sacchi avrebbe fatto.... un monumento ...
Originariamente inviato da: Redazione di Hardware Upgrade

Se siete già sul canale di Justin Bieber su VEVO dobbiamo però placare i vostri animi, il bug è già stato corretto da Google

Anche Google, pero'.. Peri canali di bieber o Favij potevano anche lasciarlo...
hermanss03 Aprile 2015, 16:49 #5
Per favore...5,000 $

Per la scoperta della falla Guuugle avrebbe dovuto aggiungere almeno altri ,000!!!
roccia123403 Aprile 2015, 16:54 #6
Originariamente inviato da: Mandopa
attendevo che sparissero i canali degli youtuber tipo favij&co.


già

che occasione sprecata per eliminare un bel po' di rumenta....
Bivvoz03 Aprile 2015, 17:12 #7
5000 dollari per un'informazione del genere è veramente da pezzenti.
Certo che se cancellava tutto lo spedivano nelle miniere di sale per i resto della sua vita... ah no è russo
Secondo me se vendeva le informazioni ad alcuni suoi connazionali lo pagavano 1000 volte tanto.
bobafetthotmail03 Aprile 2015, 17:22 #8
Ho come il vago sospetto che Youtube abbia un backup o due. O anche 3 o 4.

Bella l'idea di Google. Anche MS dovrebbe farlo.
Zenida03 Aprile 2015, 19:34 #9
Originariamente inviato da: bobafetthotmail
Ho come il vago sospetto che Youtube abbia un backup o due. O anche 3 o 4.

Bella l'idea di Google. Anche MS dovrebbe farlo.


Non esageriamo, sono pur sempre video (ecco perché insieme a twitch generano il 50% dell'intero traffico mondiale)

3-4 backup sarebbero YB di dati! XD

cmq il bug era di una banalità disarmante spero che abbiamo controllato anche tutte le restanti funzioni legate al session_token...
TheQ.03 Aprile 2015, 20:24 #10
vorrei dire che crolla il mito dei server google privi di bug ed inviolabili.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^