YouTube: Scoperto un bug che poteva eliminare tutti i video.


Si chiama Kamil Hismatullin e si tratta di un giovane ricercatore di sicurezza russo che, come ha di recente annunciato lui stesso attraverso il suo blog, ha avuto tra le mani un potere che in molti vorrebbero: cancellare a propri piacimento tutti i video caricati su YouTube. Questo grazie ad un bug presente all'interno dello "YouTube Creator Studio", (molto simile a quello scoperto a Febbraio all'interno di Facebook, il quale permetteva di eliminare tutti gli album fotografici degli utenti), scoperto dal ricercatore durante la sua partecipazione al programma Vulnerability Research Grants, ossia una nuova iniziativa lanciata alcuni mesi fa da Google proprio per ricercare eventuali problemi di vulnerabilità di tipo Cross-site scripting, (nota anche con la sigla XSS), o Cross-site request forgery, (conosciuta anche con le sigle CSRF e/o XSRF). In pratica al riguardo lo stesso Kamil Hismatullin ha spiegato: "Stavo investigato all'intero dello YouTube Creator Studio per vedere come funzionasse il sistema "live_events/broadcasting". Volevo trovare qualche vulnerabilità CSRF o XSS, ma inaspettatamente ho trovato un bug che mi lasciava cancellare qualunque video su YouTube attraverso una semplice richiesta: POST https://www.youtube.com/live_events_edit_status_ajax?action_delete_live_event=1 event_id: ANY_VIDEO_ID session_token: YOUR_TOKEN. Come risposta ho ottenuto: { "success": 1 }; ed il video che avevo scelto era stato rimosso". Ad ogni modo, tecnicismi a parte, quasi certamente in molti sarebbero stati fortemente tentati di approfittare di tale vulnerabilità, anche perché, data la situazione, c'erano buone possibilità per Kamil Hismatullin di non essere mai identificato. Ed a dire il vero lui stesso ha pensato di sfruttare tale bug per levarsi uno sfizio, anche se alla fine ha resistito; infatti in tal proposito ha scherzosamente commentato: "In generale ho passato 6-7 ore nella ricerca, considerando quel paio d'ore in cui ho lottato contro la tentazione di ripulire il canale di Justin Bieber, haha!". Alla fine però Kamil Hismatullin ha deciso di segnalare la falla in questione direttamente agli sviluppatori di Google, i quali si sono messi all'opera immediatamente per risolvere il problema, visto che, come ha spiegato lo stesso ricercatore: "Questa vulnerabilità avrebbe creato un caos totale nel giro di qualche minuto, se fosse finita nelle mani sbagliate". Comunque sia fortunatamente, per i creatori di contenuti, i resonsabili di YouTube hanno risolto tale bug e, (fortunatamente per lui), hanno ricompensato Kamil Hismatullin con un premio di 5.000$, (vale a dire la cifra massima prevista in questi casi); anche se molto probabilmente se ne sarebbe meritati molti di più, visto e considerato che si trattava di un bug che teoricamente avrebbe potuto mandare "a gambe all'aria" l'enorme impero che YouTube si è creato negli anni.

Di seguito un video "POC" pubblicato dal ricercatore russo:

Commenti