Российский программист удержался от полного удаления всех роликов YouTube Статьи редакции
22-летний программист и исследователь безопасности веб-сервисов из Казани Камиль Хисматуллин обнаружил уязвимость в YouTube, позволившую ему удалить любой ролик на сервисе — однако не воспользовался ей, а сообщил в компанию и получил награду. Об этом он рассказал в своём блоге.
Камиль Хисматуллин. Фото с его страницы во «ВКонтакте»
Некоторое время назад программист казанской студии Flatstack Камиль Хисматуллин получил письмо от Google с приглашением принять участие в программе Vulnerability Research Grants. По ней компания авансом выплачивает небольшую сумму (Камиль получил 1337 долларов) с расчётом на то, что исследователь посвятит какое-то время изучению её продуктов и, возможно, найдёт в них ошибки. В случае, если уязвимость найдена и принята в Google, компания выплатит не только аванс, но и награду за полезный багрепорт.
Хисматуллин решил заняться изучением багов на выходных, и первой его целью стал YouTube Creator Studio — приложение для владельцев каналов на видеохостинге, позволяющее управлять загруженными видео, отвечать на комментарии и анализировать статистику. По словам исследователя, уже через два часа у него были готовы два отчёта для Google.
В системе видеотрансляций он нашёл логическую ошибку: её устройство позволяло удалить через обращение к YouTube Creator Studio любое видео на сервисе, используя в качестве ключа авторизации только токен своей сессии. В качестве подтверждения найденной уязвимости он опубликовал видео, где он удаляет собственное видео, оставаясь незалогиненным на YouTube.
По словам Хисматуллина, в штаб-квартире Google было раннее субботнее утро, когда он отправил отчёт об ошибке, но ему ответили очень быстро, так как уязвимость могла создать полную неразбериху на сервисе.
Всего исследование заняло у меня 6–7 часов — принимая во внимания те пару часов, что я боролся с желанием очистить YouTube-канал Джастина Бибера, ха-ха.
Камиль Хисматуллин
Недобросовестные пользователи YouTube, в руках которых оказался бы такой инструмент, могли бы удалить огромное число роликов за короткий промежуток времени. Однако в Google устранили уязвимость за несколько часов и выплатили исследователю награду в 5 тысяч долларов.
6337 долларов — какая-то уж очень смешная цена за сохранение практически всего видео-наследия интернета.
Давать больше = признавать серьезность проблемы.
Всего? Ютуб - это не всё.
Во-вторых - что бы удалить всё понадобились бы многие дни и десятки тысяч ботов, проксей и другого добра.
Комментарий недоступен
Он мог бы сделать много хорошего для русскоязычного юиуба, но променял это на деньги;(
Не, ну вы серьезно? Чувствую, такой заголовок я скоро увижу на рекламном баннере на Gismeteo или еще где-нибудь.
leet
Какой-то уж очень дикий по масштабу баг для компании уровня Гугла.
При разработке таких масштабов очень часто маленькие дырки просто не замечаются, проходят мимо. А тестировать такой огромный сервис слишком дорого и очень-очень долго.
Комментарий недоступен
Удалил бы гангам стайл, опубликовал в клуб новость, она наверняка попала бы в основной контент ... Вот зажил бы ...
Комментарий недоступен
Уже есть шутка про Бибера, достаточно.
Тимати: "Слышь, ты чё такой дерзкий?"
Заголовок желтоват, но не противоречит здравому смыслу, в общем-то.
Позвольте подискутировать с Вами. Глагол "удержался" подразумевает факт желания сделать это, но остановку усилием воли. Очевидно, что далеко не факт, что Камиль хотел сделать это (я имею в виду полное удаление всех роликов YouTube). Даже если предположить, что он об этом подумал, это подразумевает операцию по удалению каждого из 20 миллионов (или сколько их там) роликов - в этом случае правильнее было бы сказать не "удержался", а, там, "воздержался" или "просчитал затраты времени и сил и послал эту идею куда подальше".
Комментарий недоступен
Ток сейчас дошло. Это такая ненавязчивая пасхалка?
Я правильно понимаю, что такие объёмы видео слишком дорого бэкапить даже для Гугла?
Я не думаю, что у них нет бэкапов.
вряд ли. думаю у гугла есть полный бекап всего гугла, что вслучае чего сразу быстренько развернуть еще гугл)
Комментарий недоступен
Беэкап? Вы часто бекапите удаляемые из корзины файлы?
Комментарий недоступен
парень молодец, но ютуб бы восстановил удаленные видео моментально.
Вначале надо обнаружить, что какие-то видео удалены. Если бы он пошёл по рутьюбу, то товарищи ещё долго бы пытались достучаться до Гугла.
Сейчас я буду удалять все видео
А я бы удалил. С компа начальника, например.
Чисто ради лулзов
Судя по ссылкам, которые выдает savefrom.net при скачивании роликов, и ссылке, по которой YT дает возможность скачать собственное видео, они хранятся на разных cdn.
Следовательно, возможность восстановления видео после удаления все равно остается.
Администрация ВКонтакте дает по 10 тысяч долларов за подобные баги...
Ага, только не в долларах, а в голосах....
Тот же самый парень
http://habrahabr.ru/post/257951/
Камиль молодец, В Google могли бы и работу парню предложить. Он доказал свой талант и моральные качества. Хотя 5 тысяч долларов тоже не плохо, по нынешниму курсу.
Угу, талантливый парень, который имел возможность удалить любое видео в ютьюб, смог позволить купить себе новенькую Ладу.
Комментарий недоступен
Найти баг (даже серьёзный) - недостаточно, для того что бы доказать свой талант.
Не, ну а в чем проблема-то? Ну удалил бы он все ролики Бибера. Бибер пожаловался бы в администарцию ютуба, те, в свою очередь нашли бы ошибку и исправили. Бибер заново бы вылил свои видосы и все. Самое сташное, он потеряет лайки и количество просмотров. Люди ведь не хранят видео исключительно на ютубе.
Ну чё все так распереживались. Да, уязвимость была. Но, чтобы ей воспользоваться и удалить, скажем, видео тимати, он должен был бы как-то перехватить авторизационный токен аккаунта тимати.
Так что он мог, сидя у себя дома, удалить разве что свои ролики, просто не залогинившись (ну и, максимум, своих соседей с незапароленным вайфаем).
Я так понял, что можно удалить любой ролик по своему токену.
Понятно, что заполучив чужой токен, вы можете делать что угодно от имени того аккаунта, чей токен вы заполучили. Но это не баг ютуба, а проблемы того, кто потерял токен.
http://tjournal.ru/paper/hacker-couldve-deleted-youtube#comment858285
А тут еще люди удивляются, мол, как это из защищенного (!!!) мессенждера сообщения утекают и смс-переписку в сеть сливают. Товарищи, о безопасности данных в сети говорить пока, наверное, смешно все-таки,
Вы о чём вообще?
Я правильно понял, что он смог удалить только своё видео? И чтобы удалить ролики Бибера ему нужен SESSION_TOKEN Бибера?
*****, ну вот чем вы все читаете...
<...> он нашёл логическую ошибку: её устройство позволяло удалить через обращение к YouTube Creator Studio ЛЮБОЕ видео на сервисе, используя в качестве ключа авторизации только токен СВОЕЙ сессии <...>
Нет, не нужен — любой токен подойдёт.
Смешное вознаграждение
5к долларов КАРЛ!