Российский программист удержался от полного удаления всех роликов YouTube Статьи редакции
22-летний программист и исследователь безопасности веб-сервисов из Казани Камиль Хисматуллин обнаружил уязвимость в YouTube, позволившую ему удалить любой ролик на сервисе — однако не воспользовался ей, а сообщил в компанию и получил награду. Об этом он рассказал в своём блоге.
Камиль Хисматуллин. Фото с его страницы во «ВКонтакте»
Некоторое время назад программист казанской студии Flatstack Камиль Хисматуллин получил письмо от Google с приглашением принять участие в программе Vulnerability Research Grants. По ней компания авансом выплачивает небольшую сумму (Камиль получил 1337 долларов) с расчётом на то, что исследователь посвятит какое-то время изучению её продуктов и, возможно, найдёт в них ошибки. В случае, если уязвимость найдена и принята в Google, компания выплатит не только аванс, но и награду за полезный багрепорт.
Хисматуллин решил заняться изучением багов на выходных, и первой его целью стал YouTube Creator Studio — приложение для владельцев каналов на видеохостинге, позволяющее управлять загруженными видео, отвечать на комментарии и анализировать статистику. По словам исследователя, уже через два часа у него были готовы два отчёта для Google.
В системе видеотрансляций он нашёл логическую ошибку: её устройство позволяло удалить через обращение к YouTube Creator Studio любое видео на сервисе, используя в качестве ключа авторизации только токен своей сессии. В качестве подтверждения найденной уязвимости он опубликовал видео, где он удаляет собственное видео, оставаясь незалогиненным на YouTube.
По словам Хисматуллина, в штаб-квартире Google было раннее субботнее утро, когда он отправил отчёт об ошибке, но ему ответили очень быстро, так как уязвимость могла создать полную неразбериху на сервисе.
Всего исследование заняло у меня 6–7 часов — принимая во внимания те пару часов, что я боролся с желанием очистить YouTube-канал Джастина Бибера, ха-ха.
Камиль Хисматуллин
Недобросовестные пользователи YouTube, в руках которых оказался бы такой инструмент, могли бы удалить огромное число роликов за короткий промежуток времени. Однако в Google устранили уязвимость за несколько часов и выплатили исследователю награду в 5 тысяч долларов.
Позвольте подискутировать с Вами. Глагол "удержался" подразумевает факт желания сделать это, но остановку усилием воли. Очевидно, что далеко не факт, что Камиль хотел сделать это (я имею в виду полное удаление всех роликов YouTube). Даже если предположить, что он об этом подумал, это подразумевает операцию по удалению каждого из 20 миллионов (или сколько их там) роликов - в этом случае правильнее было бы сказать не "удержался", а, там, "воздержался" или "просчитал затраты времени и сил и послал эту идею куда подальше".
Всё не так.
А схд используются теневые копии и всяческие файловые системы, где логическое удаление очень далеко от физического удаления.
То есть всё, что надо было бы сделать гуглу в случае подобного алерта - это написать скрипт для возвращения всего на место.
Сам процесс даже времени бы особо не занял.
Не, ну а в чем проблема-то? Ну удалил бы он все ролики Бибера. Бибер пожаловался бы в администарцию ютуба, те, в свою очередь нашли бы ошибку и исправили. Бибер заново бы вылил свои видосы и все. Самое сташное, он потеряет лайки и количество просмотров. Люди ведь не хранят видео исключительно на ютубе.
Ну чё все так распереживались. Да, уязвимость была. Но, чтобы ей воспользоваться и удалить, скажем, видео тимати, он должен был бы как-то перехватить авторизационный токен аккаунта тимати.
Так что он мог, сидя у себя дома, удалить разве что свои ролики, просто не залогинившись (ну и, максимум, своих соседей с незапароленным вайфаем).