Egy orosz, aki letörölhette volna az egész Youtube-ot (+ videó)
Egy orosz hacker, Kamil Hismatullin alig 6-7 óra alatt felfedezett egy sebezhetőséget a Youtube-on, amit kihasználva bármelyik videót eltüntethette volna az oldalról. Hismatullin nem élt vissza a helyzettel, és tájékoztatta a Google-t, pedig nagyon viszketett a tenyere, hogy letörölje Justin Bieber hivatalos oldalát.
A nagyobb cégek, mint a Facebook vagy a Google gyakran fizetnek a szakértőknek, akik sebezhetőséget találnak a szolgáltatásaikban. A Google januárban indította el a saját programját, a Vulnerability Research Grant Rulest, néhány száztól több ezer dollárig terjedő díjazást kínálva a szemfüles programozóknak. Több szem többet lát – így jobb eséllyel előzhetik meg, hogy hozzáférjenek a személyes adatokhoz.
Az orosz számítógépzseni az esetről egy videót is készített (lásd alul); mint kiderült, csak néhány sort kellett módosítania a kódban, hogy bármilyen videót eltüntethessen. A Youtube Video Creator kódjában turkálva fedezte fel a logikai hibát, amivel törölhette volna az összes videót a Youtube-ról.
Ki is próbálta, hogy működik-e:
POST https://www.youtube.com/live_events_edit_status_ajax?action_delete_live_event=1
event_id: ANY_VIDEO_ID
session_token: YOUR_TOKEN
mire válaszként azt kapta, hogy
{ „success”: 1 }
…vagyis a művelet sikerült.
A Google 5000 dollár jutalmat fizetett a hackernek. Elsöre talán nem tűnik soknak, de Hismatullin csak 6-7 órát matatott a kódban, mire felfedezte a hibát, és további négy órát vett igénybe, hogy legyőzze a kísértést, és törölje Justin Bieber videócsatornáját. Miután jelentette az esetet, a Google villámgyorsan felvette vele a kapcsolatot, és néhány órán belül kijavították a hibát.
Azért Biebert törölhette volna nyugodtan…
Origo nyomán F.J.
