Российский эксперт предотвратил хаос на YouTube

Безопасность Пользователю
мобильная версия
YouTube оперативно устранил уязвимость, которая бы позволила пользователям удалить любые чужие видео с хостинга. Простой логический баг мог бы привести к потере непрогнозируемо больших объемов в предельно короткий срок. Найти уязвимость удалось российскому эксперту по безопасности.

Обнаружить уязвимость, использование которой могло бы подорвать работу гиганта видеохостинга YouTube, помог один из привлекаемых Google в рамках Vulnerability Research Grants экспертов, специалист из Казани, Камиль Хисматуллин. Исследуя YouTube Creator Studio, он обнаружил логический баг, который позволял пользователю удалить любое видео с YouTube запросом, который Камиль приводит в своем блоге. Сам эксперт оценивает баг как простой, а его поиск изначально был нацелен на уязвимости CSRF или XSS. Специалисты отдела безопасности YouTube оперативно отреагировали на баг-репорт и внесли необходимые изменения.

Найденная Хисматуллиным уязвимость была устранена в течение нескольких часов. В противном случае, говорит ловец багов, хаоса было бы не избежать; если бы информация попала в открытый доступ, пользователи YouTube могли бы самовольно удалить любой видео-контент с ресурса. По словам Камиля Хисматуллина, он и сам боролся с желанием удалить с канала видео популярного канадского исполнителя Джастина Бибера.

Камиль Хисматуллин постоянно участвует в программе поиске уязвимостей Google Vulnerability Research Grants. В рамках программы экспертам приходят сообщения с предложением поискать уязвимости на нескольких предлагаемых самим Google ресурсах. Основная цель программы — поддерживать исследования и поиск уязвимостей, и труд эксперта будет вознагражден, даже если ни одной уязвимости не было найдено. Тем не менее, если уязвимость была обнаружена, нашедший получает не только компенсацию, но и грант в качестве приза.