22-летний программист и исследователь безопасности веб-сервисов из Казани Камиль Хисматуллин обнаружил уязвимость в YouTube, позволившую ему удалить любой ролик на сервисе — однако не воспользовался ей, а сообщил в компанию и получил награду. Об этом он рассказал в своём блоге.
Некоторое время назад программист казанской студии Flatstack Камиль Хисматуллин получил письмо от Google с приглашением принять участие в программе Vulnerability Research Grants. По ней компания авансом выплачивает небольшую сумму (Камиль получил 1337 долларов) с расчётом на то, что исследователь посвятит какое-то время изучению её продуктов и, возможно, найдёт в них ошибки. В случае, если уязвимость найдена и принята в Google, компания выплатит не только аванс, но и награду за полезный багрепорт.
Хисматуллин решил заняться изучением багов на выходных, и первой его целью стал YouTube Creator Studio — приложение для владельцев каналов на видеохостинге, позволяющее управлять загруженными видео, отвечать на комментарии и анализировать статистику. По словам исследователя, уже через два часа у него были готовы два отчёта для Google.
В системе видеотрансляций он нашёл логическую ошибку: её устройство позволяло удалить через обращение к YouTube Creator Studio любое видео на сервисе, используя в качестве ключа авторизации только токен своей сессии. В качестве подтверждения найденной уязвимости он опубликовал видео, где он удаляет собственное видео, оставаясь незалогиненным на YouTube.
По словам Хисматуллина, в штаб-квартире Google было раннее субботнее утро, когда он отправил отчёт об ошибке, но ему ответили очень быстро, так как уязвимость могла создать полную неразбериху на сервисе.
Всего исследование заняло у меня 6–7 часов — принимая во внимания те пару часов, что я боролся с желанием очистить YouTube-канал Джастина Бибера, ха-ха, — признаётся Камиль Хисматуллин.
Недобросовестные пользователи YouTube, в руках которых оказался бы такой инструмент, могли бы удалить огромное число роликов за короткий промежуток времени. Однако в Google устранили уязвимость за несколько часов и выплатили исследователю награду в 5 тысяч долларов. Всего-то.
Рэлацыраваліся? Цяпер вы можаце каментаваць без верыфікацыі акаўнта.