Trattasi della richiesta POST accompagnata dal parametro “action_delete_live_event” unito agli identificatori “event_id” e “session_token”, tramite ciò era possibile cancellare qualsiasi tipo di contenuto da YouTube senza esserne l’autore.
I tecnici di Google si sono affrettati a correggere questa vulnerabilità di sicurezza che avrebbe potuto portare alla cancellazione di tutti i video hostati sulla piattaforma.
L'esperto russo ha spiegato i dettagli tecnici della vulnerabilità, molto simile a quella rilevata qualche tempo fa in Facebook (Facebook corregge il bug che cancella le foto).
Hismatullin, tuttavia, ha preferito non farlo sebbene la tentazione di prendere di mira il canale di Justin Bieber, musicista che il ricercatore non apprezza per nulla, sia stata davvero grande.
Sulla base della segnalazione responsabilmente inviata ai tecnici di Google, la società californiana ha corrisposto al ricercatore un premio in denaro pari a 5.000 dollari, il massimo previsto in questi casi.
Un bug colossale, comunque, la cui scoperta avrebbe forse meritato una ricompensa maggiore.
Nessun commento:
Posta un commento