Avrebbe potuto cancellare da YouTube qualsiasi video caricato da chiunque, ma ha resistito alla tentazione di ridurre al silenzio frotte di teen star canterine per segnalare il problema a Google: il ricercatore di sicurezza russo Kamil Hismatullin aveva individuato un bug potenzialmente devastante per la piattaforma ed estremamente semplice da sfruttare.
Sollecitato da Google nel contesto del programma Vulnerability Research Grants a lavorare su una lista di prodotti e servizi, Hismatullin aveva scelto di concentrarsi su YouTube Creator Studio, a caccia di qualche ordinaria vulnerabilità di tipo Cross-site scripting o Cross-site request forgery. Dopo qualche ora di lavoro, si è trovato di fronte al bug: sperimentando con le richieste in POST, ha rilevato la possibilità di sfruttare il token di sessione estratto dal codice della pagina e di combinarlo con la stringa che identifica il singolo video, per determinarne la rimozione definitiva dalla piattaforma.
Per scongiurare episodi di vandalismo o estorsioni sotto la minaccia di cancellazione dei video, Hismatullin ha prontamente segnalato la falla a Google, e Goole ha prontamente provveduto a sistemarla, omaggiando il ricercatore di 5mila dollari.
Una simile vulnerabilità era stata rilevata nel mese di febbraio su Facebook: un ricercatore di sicurezza aveva trovato il modo di rimuovere senza ostacoli intere collezioni di fotografie sul social network in blu.
Anche in quel caso la piattaforma vittima della vulnerabilità era intervenuta per sanare la falla e per ricompensare il bug hunter: il patrimonio di contenuti che gli utenti affidano alle piattaforme della Rete sono la linfa da cui traggono di che arricchirsi.
Gaia Bottà
Ti potrebbe interessare
2 apr 2015