Un bug per cancellare ogni video su YouTube, anche quelli dei canali altrui

Un ricercatore di sicurezza russo, Kamil Hismatullin, ha scoperto una vulnerabilità su YouTube che consentiva a chiunque di cancellare qualsiasi video caricato sul sito, anche quelli presenti su canali non propri. Un lavoro di poche ore, avvenuto quasi casualmente, che se fosse arrivato nelle mani sbagliate avrebbe potuto avere un epilogo catastrofico (o estremamente positivo, dipende dai punti di vista).

Hismatullin era alla ricerca di errori CSRF o XSS su YouTube Creator Studio per aggiudicarsi un premio del programma Vulnerability Research Grants. Si tratta di un progetto voluto da Google per spronare la ricerca nell'ambito della sicurezza sui propri servizi, in modo da scovare eventuali vulnerabilità premiando chi di dovere in caso di scoperte infauste.

Ed è così che mentre navigava nel codice del software di Google "indagando le modalità di funzionamento dei sistemi live_events/broadcasting", Hismatullin si è imbattuto in un bug che gli avrebbe permesso di "cancellare qualsiasi video con una semplice richiesta". Lo sviluppatore ha rilasciato anche un video come "proof of concept", dimostrando la validità del suo sistema.

Un'azione potenzialmente fatale per la sicurezza e la percepita affidabilità del servizio di video-sharing per antonomasia, ma che avrebbe potuto avere anche risvolti positivi, come del resto ha affermato ironicamente lo stesso ricercatore: "Ho impiegato circa 6-7 ore per la ricerca se consideriamo anche quel paio d'ore in cui ho combattuto la tentazione di ripulire il canale di Justin Bieber".

Una vulnerabilità estremamente grave, e che avrebbe potuto comportare effetti devastanti sul social network, ma che fortunatamente Google non ha preso sotto gamba sistemandola in alcune ore dalla segnalazione. La sua scoperta è valsa 5 mila dollari in favore di Hismatullin, una cifra forse riduttiva rispetto a quello che è stato evitato, ma che rappresenta il massimo per bug di questo tipo.

"Google mi ha premiato con 5 mila dollari", ha concluso lo sviluppatore, "e per fortuna nessun video di Justin Bieber è stato danneggiato durante il processo".