L’uomo che avrebbe potuto cancellare qualsiasi video da Youtube

Pubblicato il: 01-04-2015 21:21 , Ultimo aggiornamento: 20-02-2020 22:59

Salvatore Capolupo

Ingegnere per passione, consulente per necessità; ho creato Trovalost.it.

Nonostante la data, non si tratta di uno scherzo del primo aprile: un ricercatore informatico ha scoperto, indagando tra le impostazioni di Youtube Creator Studio, un modo – ad oggi ormai risolto da Youtube – per cancellare qualsiasi video con una semplice richiesta POST.

Per chi non fosse avvezzo alla programmazione, significa che basta un semplice comando secco, nello specifico senza chiave di cifratura o password, che consentiva di cancellare qualsiasi video, anche tra quelli non caricati direttamente da noi.

La richiesta era su questa falsariga:

POST https://www.youtube.com/live_events_edit_status_ajax?action_delete_live_event=1

event_id: ANY_VIDEO_ID
session_token: YOUR_TOKEN

e fino a che la falla non è stata chiusa (il ricercatore ha optato per una disclosure responsabile) si otteneva una risposta del genere:

{
  "success": 1
}

Ad oggi la falla è stata fortunatamente risolta, ed il ricercatore ricompensato con 5000 dollari.

(fonte)

Grazie per aver letto L’uomo che avrebbe potuto cancellare qualsiasi video da Youtube di Salvatore Capolupo su Trovalost.it

Articoli più letti su questi argomenti:

• Errore 403 su DAZN spiegato ai comuni mortali (e qualche indizio per risolvere) 5.3k visualizzazioni / mese
• Android Auto: guida ai principali problemi e come risolverli 3.1k visualizzazioni / mese
• Cosa significa il messaggio “ridurre carico contatore” 2.9k visualizzazioni / mese

• Dati rubati su Facebook, di nuovo: questa volta sarebbero 1 miliardo e mezzo di utenti 2.2k visualizzazioni / mese
• Traduzioni da altre lingue che in italiano sembrano parolacce 2k visualizzazioni / mese
• Gli arcade anni 80/90 a cui giocavamo tra un calcetto e l’altro 600 visualizzazioni / mese