YouTube закрыл уязвимость, которая позволяла любому пользователю произвольно удалять чужие видеоролики с видеохостинга. Специалисты отдела безопасности отреагировали на баг-репорт исключительно быстро, понимая, какой хаос может возникнуть в том случае, если информация попадёт в паблик. В считанные минуты с YouTube исчезли бы десятки тысяч самых популярных видеороликов с котиками, Джастином Бибером, Gangnam Style и другими хитами. Пожалуй, это тот случай, когда кое-кто может и пожалеть, что уязвимость закрыли так быстро.
Автор эксплоита Камиль Хисматулин из Казани рассказывает, что постоянно участвует в программе поиска уязвимостей Google. На этот раз он выбрал в качестве цели YouTube Creator Studio и рассмотрел, как работает система live_events/broadcasting, в поисках уязвимостей CSRF или XSS. Неожиданно он обнаружил логический баг, который давал возможность удалить любое видео с YouTube простым запросом:
POST https://www.youtube.com/live_events_edit_status_ajax?action_delete_live_event=1
event_id: ANY_VIDEO_ID
session_token: YOUR_TOKEN
В ответ приходит:
{
"success": 1
}
И файла больше нет!
PoC-видео с демонстрацией уязвимости.
Несмотря на субботнее утро, отдел безопасности Google мгновенно исправил уязвимость, а российскому хакеру назначили вознаграждение $5000. «Видеоролики Бибера не пострадали», — шутит Камиль в своём блоге.