Bod Segurança Kamil Hismatullin revelou um método simples para eliminar qualquer vídeo do YouTube.
O desenvolvedor de software russo e hackers encontraram vídeos podem ser instantaneamente nukado enviando o número de identificação de um vídeo em um pedido de pós junto com qualquer token.
Google pagou o bug caçador US $ 5000 para o encontrar, juntamente com 1337 dólares sob sua regime de pagamento vulnerabilidade preventiva em que slings dinheiro para ajudar os pesquisadores reconhecidos acham mais erros.
"Eu queria encontrar lá algumas questões CSRF ou XSS, mas, inesperadamente, descobriu um bug lógico que deixe-me para excluir qualquer vídeo no YouTube com apenas um pedido", diz Hismatullin.
"... Esta vulnerabilidade poderia criar o caos total em questão de minutos em mãos [dos hackers] que poderia extorquir pessoas ou simplesmente interromper YouTube, eliminando grandes quantidades de vídeos em um período muito curto de tempo."
Hismatullin diz Google respondeu rapidamente quando ele relatou o bug sábado.
Ele diz que passou sete horas encontrar os bugs e resistiu ao impulso irresistível perto para "limpar o canal do Bieber".
Vulnerabilidade do Google Research Grants é descrito como dinheiro com "sem amarras" que permite bods de segurança conhecidas para se candidatar a US $ 3.133,70 para começar bugs expedições de caça.
O serviço de busca e gigante distribuiu cerca de 1,5 milhões no ano passado para os caçadores de bugs para relatar vulnerabilidades. ®
Nenhum comentário:
Postar um comentário