Falla clamorosa (e risolta) su Youtube: nessun video di Justin Beaber è stato maltrattato Un ricercatore informatico ha scoperto una falla sul noto sito di video che permetteva di cancellare qualsiasi video a partire dal suo ID

<span class="entry-title-primary">Falla clamorosa (e risolta) su Youtube: nessun video di Justin Beaber è stato maltrattato</span> <span class="entry-subtitle">Un ricercatore informatico ha scoperto una falla sul noto sito di video che permetteva di cancellare qualsiasi video a partire dal suo ID</span>

Il ricercatore informatico Kamil Hismatullin ha scoperto (e raccontato sul suo blog solo dopo che la falla era stata risolta) come, fino a qualche giorno fa, fosse possibile rimuovere arbitrariamente qualsiasi video da Youtube: un problema di sicurezza davvero pesante, se si considera la rapidità della procedura (un banale POST con manipolazione dei parametri dell’URL).

L’attacco poteva avvenire su questa falsariga:

POST https://www.youtube.com/live_events_edit_status_ajax?action_delete_live_event=1

event_id: ANY_VIDEO_ID
session_token: YOUR_TOKEN

e permetteva di rimuovere qualsiasi video (anche non caricato da noi) seguendo questa procedura, anche relativamente banale rispetto alla media di casi del genere. Un caso davvero singolare e, probabilmente, una delle falle informatiche più gravi dell’anno, anche in considerazione del fatto che questi siti di upload video – per ragioni varie – sono di solito piuttosto blindati, a volte fino all’assurdo: tanto che, in alcuni casi, le procedure di rimozione video sono contorte, incomplete o del tutto impossibili (Youporn, ad esempio, non possiede una procedura di rimozione dei video, neanche se sono stati caricati con un nostro account). Una falla del genere lasciata aperta suggerisce che anche i colossi del web, a volte, dimenticano le procedure di sicurezza standard anche più elementari, ipnotizzate come sono dall’estendere, promuovere e valorizzare i propri pregi.

La proof-of-concept pubblicata sul suo sito mostrava come venisse eseguita la procedura, ma l’informatico russo ha avuto il buonsenso di non divulgare la notizia prima di avvisare Google del problema. Azienda che, di fatto, ha premiato la scoperta con 5000 dollari, una cifra anche relativamente contenuta se si tiene conto della gravità del problema emerso. Alla fine del suo post di spiegazioni, Hismatullin ha ironizzato sull’essersi trattenuto dal fare fuori, quando avrebbe potuto, tutti i video di Justin Beaber (“luckily no Bieber videos were harmed”).

Il bug è stato, ovviamente, risolto da Google solo dopo questa segnalazione (fonti: Paolo Attivissimo, kamil.hism.ru)

Ti piace questo articolo?

0 voti

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.

Ti potrebbero interessare (Sicurezza informatica):

Cerca altro nel sito

Clicca sul box, e scegli la sezione per vederne i contenuti.