Gaia Bottà

YouTube, rischio estinzione scampato

Un ricercatore di sicurezza trova una semplice soluzione per rimuovere dalla piattaforma qualsiasi video: Google ha provveduto a ricompensarlo e a correggere il bug, prima che qualcuno ne approfittasse

Roma - Avrebbe potuto cancellare da YouTube qualsiasi video caricato da chiunque, ma ha resistito alla tentazione di ridurre al silenzio frotte di teen star canterine per segnalare il problema a Google: il ricercatore di sicurezza russo Kamil Hismatullin aveva individuato un bug potenzialmente devastante per la piattaforma ed estremamente semplice da sfruttare.


Sollecitato da Google nel contesto del programma Vulnerability Research Grants a lavorare su una lista di prodotti e servizi, Hismatullin aveva scelto di concentrarsi su YouTube Creator Studio, a caccia di qualche ordinaria vulnerabilità di tipo Cross-site scripting o Cross-site request forgery. Dopo qualche ora di lavoro, si è trovato di fronte al bug: sperimentando con le richieste in POST, ha rilevato la possibilità di sfruttare il token di sessione estratto dal codice della pagina e di combinarlo con la stringa che identifica il singolo video, per determinarne la rimozione definitiva dalla piattaforma.

Per scongiurare episodi di vandalismo o estorsioni sotto la minaccia di cancellazione dei video, Hismatullin ha prontamente segnalato la falla a Google, e Goole ha prontamente provveduto a sistemarla, omaggiando il ricercatore di 5mila dollari.
Una simile vulnerabilità era stata rilevata nel mese di febbraio su Facebook: un ricercatore di sicurezza aveva trovato il modo di rimuovere senza ostacoli intere collezioni di fotografie sul social network in blu.

Anche in quel caso la piattaforma vittima della vulnerabilità era intervenuta per sanare la falla e per ricompensare il bug hunter: il patrimonio di contenuti che gli utenti affidano alle piattaforme della Rete sono la linfa da cui traggono di che arricchirsi.

Gaia Bottà
Notizie collegate
  • SicurezzaLa sicurezza è condivisioneVirusTotal chiede ai produttori di software di collaborare al suo nuovo progetto di whitelist "universale", mentre Facebook presenta una sorta di social network per professionisti della sicurezza. Ma proprio Facebook si buca facile
  • SicurezzaFacebook, quanto vale cancellare foto altruiUn bug hunter indiano individua una vulnerabilità potenzialmente molto pericolosa nel codice di Facebook e fa rapporto. Diversamente da quanto successo nel recente passato, questa volta l'hacking vale più di 12mila dollari
  • AttualitàFacebook e il baco della discordiaUn hacker palestinese scopre un bug nel codice e ne denuncia l'esistenza. E spera in una ricompensa. Ma per mostrare il problema viola l'account di Zuckerberg. E si becca un ban
8 Commenti alla Notizia YouTube, rischio estinzione scampato
Ordina