Un bug per cancellare ogni video su YouTube, anche quelli dei canali altrui
Se siete già sul canale di Justin Bieber su VEVO dobbiamo però placare i vostri animi, il bug è già stato corretto da Google
di Nino Grasso pubblicata il 03 Aprile 2015, alle 16:19 nel canale WebUn ricercatore di sicurezza russo, Kamil Hismatullin, ha scoperto una vulnerabilità su YouTube che consentiva a chiunque di cancellare qualsiasi video caricato sul sito, anche quelli presenti su canali non propri. Un lavoro di poche ore, avvenuto quasi casualmente, che se fosse arrivato nelle mani sbagliate avrebbe potuto avere un epilogo catastrofico (o estremamente positivo, dipende dai punti di vista).
Hismatullin era alla ricerca di errori CSRF o XSS su YouTube Creator Studio per aggiudicarsi un premio del programma Vulnerability Research Grants. Si tratta di un progetto voluto da Google per spronare la ricerca nell'ambito della sicurezza sui propri servizi, in modo da scovare eventuali vulnerabilità premiando chi di dovere in caso di scoperte infauste.
Ed è così che mentre navigava nel codice del software di Google "indagando le modalità di funzionamento dei sistemi live_events/broadcasting", Hismatullin si è imbattuto in un bug che gli avrebbe permesso di "cancellare qualsiasi video con una semplice richiesta". Lo sviluppatore ha rilasciato anche un video come "proof of concept", dimostrando la validità del suo sistema.
Un'azione potenzialmente fatale per la sicurezza e la percepita affidabilità del servizio di video-sharing per antonomasia, ma che avrebbe potuto avere anche risvolti positivi, come del resto ha affermato ironicamente lo stesso ricercatore: "Ho impiegato circa 6-7 ore per la ricerca se consideriamo anche quel paio d'ore in cui ho combattuto la tentazione di ripulire il canale di Justin Bieber".
Una vulnerabilità estremamente grave, e che avrebbe potuto comportare effetti devastanti sul social network, ma che fortunatamente Google non ha preso sotto gamba sistemandola in alcune ore dalla segnalazione. La sua scoperta è valsa 5 mila dollari in favore di Hismatullin, una cifra forse riduttiva rispetto a quello che è stato evitato, ma che rappresenta il massimo per bug di questo tipo.
"Google mi ha premiato con 5 mila dollari", ha concluso lo sviluppatore, "e per fortuna nessun video di Justin Bieber è stato danneggiato durante il processo".
21 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoattendevo che sparissero i canali degli youtuber tipo favij&co.
Mi hai letto nel pensiero XD, ma prima avrei fatto fuori il gran visir di tutti i canali spazzatura...PewDiePie...
chissà quante ore ci metterebbero comunque a ripristinare una cancellazione totale da parte di un bug così...
MAI combattere una tentazione....
La sua scoperta è valsa 5 mila dollari in favore di Hismatullin, una cifra forse riduttiva rispetto a quello che è stato evitato
se avesse ripulito certi video, altro che 5.000 sacchi avrebbe fatto.... un monumento ...
Se siete già sul canale di Justin Bieber su VEVO dobbiamo però placare i vostri animi, il bug è già stato corretto da Google
Anche Google, pero'.. Peri canali di bieber o Favij potevano anche lasciarlo...
Per la scoperta della falla Guuugle avrebbe dovuto aggiungere almeno altri ,000!!!
già
che occasione sprecata per eliminare un bel po' di rumenta....
Bella l'idea di Google. Anche MS dovrebbe farlo.
Bella l'idea di Google. Anche MS dovrebbe farlo.
Non esageriamo, sono pur sempre video (ecco perché insieme a twitch generano il 50% dell'intero traffico mondiale)
3-4 backup sarebbero YB di dati! XD
cmq il bug era di una banalità disarmante spero che abbiamo controllato anche tutte le restanti funzioni legate al session_token...
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".