L’uomo che avrebbe potuto cancellare qualsiasi video da Youtube

Pubblicato il: 1 Aprile 2015 , Ultimo aggiornamento: 20 Febbraio 2020

Salvatore Capolupo

Ingegnere informatico e consulente di web marketing, sono il fondatore dei progetti web Trovalost.it, Pagare.online, Lipercubo.it e tanti altri. Di solito passo inosservato, e non ne approfitto.

Nonostante la data, non si tratta di uno scherzo del primo aprile: un ricercatore informatico ha scoperto, indagando tra le impostazioni di Youtube Creator Studio, un modo – ad oggi ormai risolto da Youtube – per cancellare qualsiasi video con una semplice richiesta POST.

Per chi non fosse avvezzo alla programmazione, significa che basta un semplice comando secco, nello specifico senza chiave di cifratura o password, che consentiva di cancellare qualsiasi video, anche tra quelli non caricati direttamente da noi.

La richiesta era su questa falsariga:

POST https://www.youtube.com/live_events_edit_status_ajax?action_delete_live_event=1

event_id: ANY_VIDEO_ID
session_token: YOUR_TOKEN

e fino a che la falla non è stata chiusa (il ricercatore ha optato per una disclosure responsabile) si otteneva una risposta del genere:

{
  "success": 1
}

Ad oggi la falla è stata fortunatamente risolta, ed il ricercatore ricompensato con 5000 dollari.

(fonte)

Grazie per aver letto L’uomo che avrebbe potuto cancellare qualsiasi video da Youtube di Salvatore Capolupo su Trovalost.it

Articoli più letti su questi argomenti:

• Cosa significa “Ridurre carico” contatore Enel 1.5k visualizzazioni / mese
• Cosa fare se la tastiera del PC non funziona? 800 visualizzazioni / mese
• Notifiche di Telegram non arrivano: cosa fare? 700 visualizzazioni / mese

• Google Earth e la possibilità d’inserire foto 100 visualizzazioni / mese
• Il caso Verkada: bucato un software di video-sorveglianza 100 visualizzazioni / mese
• Nuove tecniche per decriptare i cookie anche sotto HTTPS 100 visualizzazioni / mese