20.10.2021

Hack Pub

Новости интересные и малоизвестные из IT индустрии

YouTube закрыл уязвимость, позволяющую удалить чужие видеоролики

YouTube закрыл уязвимость, которая позволяла любому пользователю произвольно удалять чужие видеоролики с видеохостинга. Специалисты отдела безопасности отреагировали на баг-репорт исключительно быстро, понимая, какой хаос может возникнуть в том случае, если информация попадёт в паблик. В считанные минуты с YouTube исчезли бы десятки тысяч самых популярных видеороликов с котиками, Джастином Бибером, Gangnam Style и другими хитами. Пожалуй, это тот случай, когда кое-кто может и пожалеть, что уязвимость закрыли так быстро.

Автор эксплоита Камиль Хисматулин из Казани рассказывает, что постоянно участвует в программе поиска уязвимостей Google. На этот раз он выбрал в качестве цели YouTube Creator Studio и рассмотрел, как работает система live_events/broadcasting, в поисках уязвимостей CSRF или XSS. Неожиданно он обнаружил баг, который давал возможность удалить любое видео с YouTube простым запросом:
POST https://www.youtube.com/live_events_edit_status_ajax?action_delete_live_event=1
event_id: ANY_VIDEO_ID
session_token: YOUR_TOKEN

В ответ приходит: "success": 1
И файла больше нет!

Несмотря на субботнее утро, отдел безопасности Google мгновенно исправил уязвимость, а российскому хакеру назначили вознаграждение $5000. «Видеоролики Бибера не пострадали», — шутит Камиль в своём блоге.