Российский программист нашел брешь в безопасности YouTube

Найден баг, позволяющий удалить абсолютно любое видео на YouTube, как свое собственное. Недочет в безопасности заметил двадцатидвухлетний житель Казани Камиль Хисматуллин.

Несколько месяцев назад Google анонсировал экспериментальную программу под названием Грант на исследование безопасности. Суть проста: те, кто часто посылал репорты об ошибках на сервисах Google, получили письмо от представителей компании. В нем кандидатам предлагалось денежное вознаграждение за исследование проблем, список которых прилагался.

В своем блоге Хисматуллин рассказывает, что подписался на исследование безопасности YouTube в рамках этого гранта. В процессе он наткнулся на логическую ошибку, которая позволяла ему стирать видео с любого канала YouTube, при этом не являясь владельцем самого канала.

Оказалось, что удалить чьи-то видео по собственной прихоти не так уж и сложно. С этим мог бы разобраться практически любой человек, худо-бедно понимающий принципы программирования.

И все, этого контента на просторах YouTube больше не существует. Юный айтишник был столь любезен, что даже выложил видео самого процесса.

Хисматуллин тут же сообщил о проблеме представителям Google. На тот момент в Америке было раннее утро, но баг был устранен незамедлительно. Дело в том, что если бы информация о подобной лазейке попала не в те руки, то пострадать могли бы каналы многих популярных исполнителей вроде Кэти Пэрри, Psy и Тейлор Свифт.

За бдительность студент из Казани получил 5 тысяч долларов. По его словам, исследование заняло примерно 6 часов, большую часть из которых он был занят решением моральной дилеммы — стирать видео Джастина Бибера или не стирать. Стоит отметить, что ни один Бибер в результате исследования, к сожалению, не пострадал.

Кстати, похожая ошибка пару недель назад всплыла и на Facebook. Она позволяла удалять любые фото с чужих страниц и альбомов. К счастью, эту брешь тоже уже залатали.