Il ricercatore informatico Kamil Hismatullin ha scoperto (e raccontato sul suo blog solo dopo che la falla era stata risolta) come, fino a qualche giorno fa, fosse possibile rimuovere arbitrariamente qualsiasi video da Youtube: un problema di sicurezza davvero pesante, se si considera la rapidità della procedura (un banale POST con manipolazione dei parametri dell’URL).
L’attacco poteva avvenire su questa falsariga:
POST https://www.youtube.com/live_events_edit_status_ajax?action_delete_live_event=1 event_id: ANY_VIDEO_ID session_token: YOUR_TOKEN
e permetteva di rimuovere qualsiasi video (anche non caricato da noi) seguendo questa procedura, anche relativamente banale rispetto alla media di casi del genere. Un caso davvero singolare e, probabilmente, una delle falle informatiche più gravi dell’anno, anche in considerazione del fatto che questi siti di upload video – per ragioni varie – sono di solito piuttosto blindati, a volte fino all’assurdo: tanto che, in alcuni casi, le procedure di rimozione video sono contorte, incomplete o del tutto impossibili (Youporn, ad esempio, non possiede una procedura di rimozione dei video, neanche se sono stati caricati con un nostro account). Una falla del genere lasciata aperta suggerisce che anche i colossi del web, a volte, dimenticano le procedure di sicurezza standard anche più elementari, ipnotizzate come sono dall’estendere, promuovere e valorizzare i propri pregi.
La proof-of-concept pubblicata sul suo sito mostrava come venisse eseguita la procedura, ma l’informatico russo ha avuto il buonsenso di non divulgare la notizia prima di avvisare Google del problema. Azienda che, di fatto, ha premiato la scoperta con 5000 dollari, una cifra anche relativamente contenuta se si tiene conto della gravità del problema emerso. Alla fine del suo post di spiegazioni, Hismatullin ha ironizzato sull’essersi trattenuto dal fare fuori, quando avrebbe potuto, tutti i video di Justin Beaber (“luckily no Bieber videos were harmed”).
Il bug è stato, ovviamente, risolto da Google solo dopo questa segnalazione (fonti: Paolo Attivissimo, kamil.hism.ru)
👇 Da non perdere 👇
- 📈 Analizza Cellulari 📱
- 🔐 AI che dolor, Chat
- 🎯 Targetizza Database SQL 🗄
- 📊 Analizza Errori più comuni 📛
- 🚧 Costruisci Evergreen 📟
- 👩💻 Programma Gratis 🎉
- 💻 Configura Hosting a confronto 💑
- 🔒 Conosci Hosting reti e domini 💻
- 👩💻 Tapioca Informatica 🖥
- 💻 Iconizza Internet 💻
- 🔒 Gestisci Lavoro 🔧
- 💡 Mostra Marketing & SEO 🌪
- 🔑 Apprendi Meteo ⛅
- 🤯 Visiona Mondo Apple 🍎
- 🔍 Supervisiona Mondo Domini 🌐
- 🚀 Metti in cloud monitoraggio servizi online 📈
- 🔮 Anatomizza Nuove tecnologie 🖥
- 🔒 Antani PEC e firma digitale 📩
- 👀 Prematura Programmare 🖥
- 🎮 Lonfa Scrivere 🖋
- 🔒 Conosci Servizi di SMS 📶
- 👀 Guarda Sicurezza informatica e privacy digitale 🖥
- 🎮 Ricorda Siti web 🌎
- 🤖 Ottimizza Spiegoni 🎓
- 🧠 Neuralizza Svago 🎈
- 📡 Quantizza Usare Excel 🌀
- 🤖 Sovrascrivi Windows 😲
- 🎨 Personalizza Wireless 🚁
- 🔑 Decifra WordPress 🤵
- 💬 Il nostro canale Telegram: iscriviti
- 🔴 Cos’è la gestalt
- 🟠 Come entrare nel deep web
- 🔵 Cos’è la gestalt