Aggiornato il: 20-02-2020 22:59
Il ricercatore informatico Kamil Hismatullin ha scoperto (e raccontato sul suo blog solo dopo che la falla era stata risolta) come, fino a qualche giorno fa, fosse possibile rimuovere arbitrariamente qualsiasi video da Youtube: un problema di sicurezza davvero pesante, se si considera la rapidità della procedura (un banale POST con manipolazione dei parametri dell’URL).
L’attacco poteva avvenire su questa falsariga:
POST https://www.youtube.com/live_events_edit_status_ajax?action_delete_live_event=1 event_id: ANY_VIDEO_ID session_token: YOUR_TOKEN
e permetteva di rimuovere qualsiasi video (anche non caricato da noi) seguendo questa procedura, anche relativamente banale rispetto alla media di casi del genere. Un caso davvero singolare e, probabilmente, una delle falle informatiche più gravi dell’anno, anche in considerazione del fatto che questi siti di upload video – per ragioni varie – sono di solito piuttosto blindati, a volte fino all’assurdo: tanto che, in alcuni casi, le procedure di rimozione video sono contorte, incomplete o del tutto impossibili (Youporn, ad esempio, non possiede una procedura di rimozione dei video, neanche se sono stati caricati con un nostro account). Una falla del genere lasciata aperta suggerisce che anche i colossi del web, a volte, dimenticano le procedure di sicurezza standard anche più elementari, ipnotizzate come sono dall’estendere, promuovere e valorizzare i propri pregi.
La proof-of-concept pubblicata sul suo sito mostrava come venisse eseguita la procedura, ma l’informatico russo ha avuto il buonsenso di non divulgare la notizia prima di avvisare Google del problema. Azienda che, di fatto, ha premiato la scoperta con 5000 dollari, una cifra anche relativamente contenuta se si tiene conto della gravità del problema emerso. Alla fine del suo post di spiegazioni, Hismatullin ha ironizzato sull’essersi trattenuto dal fare fuori, quando avrebbe potuto, tutti i video di Justin Beaber (“luckily no Bieber videos were harmed”).
Il bug è stato, ovviamente, risolto da Google solo dopo questa segnalazione (fonti: Paolo Attivissimo, kamil.hism.ru)
Ingegnere informatico per passione, consulente per necessità, docente di informatica; ho creato Trovalost.it e ho scritto quasi tutti i suoi contenuti. Credits immagini: pexels.com, pixabay.com, wikipedia.org, Midjourney, StarryAI, se non diversamente specificato. Per contattarmi clicca qui
