Kamil Hismatullin / YouTube

22-летний программист и исследователь безопасности веб-сервисов из Казани Камиль Хисматуллин обнаружил уязвимость в YouTube, позволившую ему удалить любой ролик на сервисе, пишет TJ. Подробности этой истории он описал в своем блоге.

Как рассказал Хисматуллин, некоторое время назад, он получил от Google письмо с приглашением принять участие в программе под названием Vulnerability Research Grants. В рамках этой программы компания выплачивает специалистам в области информационной безопасности небольшой аванс (Хисматуллин получил 1337 долларов) в расчете на то, что они изучат продукты Google на предмет наличия уязвимостей. В случае обнаружения ошибки в том или ином продукте эксперт получает основное вознаграждение.

Хисматуллин решил изучить приложение YouTube Creator Studio, предназначенное для владельцев каналов на YouTube. При помощи этого приложения можно управлять загруженными видео, отвечать на комментарии и анализировать статистику.

Как написал программист, всего через пару часов работы у него были готовы два отчета для Google. Так, в системе видеотрансляций Хисматуллин нашел логическую ошибку, которая позволяла удалить через обращение к YouTube Creator Studio любое видео на сервисе, используя в качестве ключа авторизации только токен своей сессии.

Обнаружив эту уязвимость, программист записал демонстрационное видео. Из ролика следует, что у него получилось удалить видеоролик со своего канала без авторизации.

Хисматуллин не уточнил, какая информация содержалась во втором отчете. Он также отметил, что вся работа отняла у него примерно шесть-семь часов. При этом два часа он потратил на борьбу с желанием удалить все записи с канала известного музыканта Джастина Бибера.

Когда Хисматуллин отправил отчет о найденной уязвимости в Google, в США было раннее утро. Тем не менее ответ пришел очень быстро, поскольку обнаруженный баг представлял серьезную опасность.

В результате уязвимость была устранена, и компания выплатила российскому эксперту премию в размере пяти тысяч долларов. Один из комментаторов в блоге Хисматуллина счел эту сумму более чем скромной. Хисматуллин признал его правоту и отметил, что рассчитывал получить 15-20 тысяч и даже хотел подать в Google жалобу. Однако изучив правила программы Vulnerability Research Grants, пришел к выводу, что компания перечислила ему максимально возможную награду.