Productos y Servicios PRODUCTOS Y SERVICIOS

Pudo borrar todos los vídeos de YouTube… pero no lo hizo

Pudo borrar todos los vídeos de YouTube… pero no lo hizo

video_borradoEl hacker ruso Kamil Hismatullin detectó un error de seguridad en YouTube Creator Studio que le hubiera permitido borrar todo el contenido de la red social de vídeos más popular y utilizada en el mundo, únicamente obteniendo el ID del vídeo que quisiera eliminar.

En lugar de hacerlo, alertó a Google que le recompensó con cinco mil dólares por dar con una vulnerabilidad que tardó en descubrir unas siete horas. El hacker, que fantaseó con borrar el canal completo de Justin Bieber, ha declarado que el equipo de seguridad de Google en San Francisco fue muy rápido en su respuesta, pues solo tardaron unas horas en solucionarlo, ya que una vulnerabilidad de este tipo en malas manos podría haber servido para extorsionar y causar un gran daño.

Compañías como Facebook y Google acostumbran a pagar a hackers para que reporten fallos de seguridad en sus sistemas. Como  hemos dicho en anteriores ocasiones, esto les permite hacer una buena labor y ganarse la vida limpiamente, aunque en este caso resulta llamativa la cantidad de la recompensa, muy por debajo de lo que se suele pagar en estos casos.

Hismatullin encontró el fallo de seguridad mientras investigaba cómo funcionaban los sistemas de retransmisión en vivo de YouTube Creator Studio. Buscaba algún problema XSS o CSRF, pero un problema lógico que le permitía borrar cualquier vídeo con tres simples líneas de código:

POST https://www.youtube.com/live_events_edit_status_ajax?action_delete_live_event=1
event_id: ANY_VIDEO_ID
session_token: YOUR_TOKEN

 

De hecho, una vez se solucionó el problema, publicó en el propio YouTube un vídeo en el que mostraba como hacerlo:

Una vez más queda demostrado que los programas de recompensa para encontrar vulnerabilidades funcionan y sirven para que los hackers realicen su actividad legalmente, obteniendo importantes recompensas monetarias por su trabajo.

 

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín semanal de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:

Dejar un comentario

Your email address will not be published. Required fields are marked *