image

Onderzoeker kon elke YouTube-video verwijderen

woensdag 1 april 2015, 13:23 door Redactie, 1 reacties

Een beveiligingsonderzoeker heeft een kwetsbaarheid in YouTube ontdekt waardoor hij elke video op de populaire videosite kon verwijderen. Kamil Hismatullin had van Google een "beurs" gekregen om naar kwetsbaarheden in bepaalde Google-diensten zoeken. Eind januari kondigde Google een nieuw experimenteel programma voor beveiligingsonderzoeker aan. Onderzoekers kregen van tevoren al een financiële beloning om kwetsbaarheden te gaan onderzoeken.

Hismatullin richtte zich op YouTube Creator Studio, een app waarmee gebruikers hun YouTube-kanaal kunnen beheren en statistieken kunnen opvragen. Op zoek naar verschillende kwetsbaarheden liep de onderzoeker tegen een logische bug aan, waardoor hij elke video via één request kon verwijderen. Het opgeven van een video-ID met het eigen sessietoken bleek genoeg te zijn. Hismatullin rapporteerde het probleem op een zaterdagochtend. Toch werd het snel door Google opgepikt en binnen een paar uur verholpen. Voor zijn bugmelding ontving de onderzoeker 5.000 dollar. Als bewijs maakte hij onderstaande demonstratievideo.

Image

Reacties (1)
01-04-2015, 15:00 door Anoniem
"In general I spent 6-7 hours to research, considering that couple of hours I've fought the urge to clean up Bieber's channel haha." lmao
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.