Pubblicato il: 01-04-2015 21:21 , Ultimo aggiornamento: 20-02-2020 22:59
Ingegnere per passione, consulente per necessità; ho creato Trovalost.it.
Nonostante la data, non si tratta di uno scherzo del primo aprile: un ricercatore informatico ha scoperto, indagando tra le impostazioni di Youtube Creator Studio, un modo – ad oggi ormai risolto da Youtube – per cancellare qualsiasi video con una semplice richiesta POST.
Per chi non fosse avvezzo alla programmazione, significa che basta un semplice comando secco, nello specifico senza chiave di cifratura o password, che consentiva di cancellare qualsiasi video, anche tra quelli non caricati direttamente da noi.
La richiesta era su questa falsariga:
POST https://www.youtube.com/live_events_edit_status_ajax?action_delete_live_event=1
event_id: ANY_VIDEO_ID
session_token: YOUR_TOKEN
e fino a che la falla non è stata chiusa (il ricercatore ha optato per una disclosure responsabile) si otteneva una risposta del genere:
{
"success": 1
}
Ad oggi la falla è stata fortunatamente risolta, ed il ricercatore ricompensato con 5000 dollari.
(fonte)
Ti piace questo contenuto?
- Iscriviti gratis via email o Telegram a Trovalost.it: è facile, gratuito e GDPR compliant! Puoi seguirci anche su Facebook: facebook.com/trovalost e su Twitter twitter.com/trovalost
Grazie per aver letto L’uomo che avrebbe potuto cancellare qualsiasi video da Youtube di Salvatore Capolupo su Trovalost.it
