Support us

Программист из Казани мог удалить все ролики YouTube, но не стал

Оставить комментарий
Программист из Казани мог удалить все ролики YouTube, но не стал

22-летний программист и исследователь безопасности веб-сервисов из Казани Камиль Хисматуллин обнаружил уязвимость в YouTube, позволившую ему удалить любой ролик на сервисе — однако не воспользовался ей, а сообщил в компанию и получил награду. Об этом он рассказал в своём блоге.

Читать далее...

Камиль Хисматуллин. Фото с его страницы во «ВКонтакте»

Некоторое время назад программист казанской студии Flatstack Камиль Хисматуллин получил письмо от Google с приглашением принять участие в программе Vulnerability Research Grants. По ней компания авансом выплачивает небольшую сумму (Камиль получил 1337 долларов) с расчётом на то, что исследователь посвятит какое-то время изучению её продуктов и, возможно, найдёт в них ошибки. В случае, если уязвимость найдена и принята в Google, компания выплатит не только аванс, но и награду за полезный багрепорт.

Хисматуллин решил заняться изучением багов на выходных, и первой его целью стал YouTube Creator Studio — приложение для владельцев каналов на видеохостинге, позволяющее управлять загруженными видео, отвечать на комментарии и анализировать статистику. По словам исследователя, уже через два часа у него были готовы два отчёта для Google.

В системе видеотрансляций он нашёл логическую ошибку: её устройство позволяло удалить через обращение к YouTube Creator Studio любое видео на сервисе, используя в качестве ключа авторизации только токен своей сессии. В качестве подтверждения найденной уязвимости он опубликовал видео, где он удаляет собственное видео, оставаясь незалогиненным на YouTube.

По словам Хисматуллина, в штаб-квартире Google было раннее субботнее утро, когда он отправил отчёт об ошибке, но ему ответили очень быстро, так как уязвимость могла создать полную неразбериху на сервисе.

Всего исследование заняло у меня 6–7 часов — принимая во внимания те пару часов, что я боролся с желанием очистить YouTube-канал Джастина Бибера, ха-ха, — признаётся Камиль Хисматуллин.

Недобросовестные пользователи YouTube, в руках которых оказался бы такой инструмент, могли бы удалить огромное число роликов за короткий промежуток времени. Однако в Google устранили уязвимость за несколько часов и выплатили исследователю награду в 5 тысяч долларов. Всего-то.

 

Место солидарности беларусского ИТ-комьюнити

Далучайся!

Читайте также
10+ сертификаций Coursera, которые могут изменить вашу карьеру
10+ сертификаций Coursera, которые могут изменить вашу карьеру
10+ сертификаций Coursera, которые могут изменить вашу карьеру
Бюджетный способ прокачать навыки и повысить зарплату — это профессиональный сертификат от Google, IBM или крупного зарубежного университета. На Coursera как раз можно найти десятки полезных обучающих программ по машинному обучению, проджект-менеджменту и не только. Собрали 10+ сертификаций, которые будут выигрышно смотреться в резюме как новичка, так и опытного специалиста.
Дизайн, VR и интернет вещей: 10 доступных онлайн-курсов от Google, Amazon и других гигантов
Дизайн, VR и интернет вещей: 10 доступных онлайн-курсов от Google, Amazon и других гигантов
Дизайн, VR и интернет вещей: 10 доступных онлайн-курсов от Google, Amazon и других гигантов
На платформе Coursera можно найти сотни курсов от крупных корпораций, включая Google, Amazon и HubSpot. Это отличная возможность начать новую карьеру, повысить квалификацию и просто получить плюс в профессиональную карму. Мы собрали 10 программ от ИТ-компаний, которые помогут освоить машинное обучение, UX-дизайн, продакт-менеджмент, кибербезопасность и многое другое.
Google урезает бюджеты, СЕО намекает на сокращения
Google урезает бюджеты, СЕО намекает на сокращения
Google урезает бюджеты, СЕО намекает на сокращения
1 комментарий
Производительность должна измеряться в IT не так, как у других. Наглядный кейс — Google
Производительность должна измеряться в IT не так, как у других. Наглядный кейс — Google
Bubble
Производительность должна измеряться в IT не так, как у других. Наглядный кейс — Google

Хотите сообщить важную новость? Пишите в Telegram-бот

Главные события и полезные ссылки в нашем Telegram-канале

Обсуждение
Комментируйте без ограничений

Релоцировались? Теперь вы можете комментировать без верификации аккаунта.

Комментариев пока нет.