Российский программист нашел уязвимость в YouTube и получил деньги от Google

Опубликовано 03 апреля 2015 в 17:04
0 0 0 0 0

22-летний программист из Казани Камиль Хисматуллин нашел способ, с помощью которого можно удалить любой ролик с YouTube. Но удержался от «чистки» сервиса — он сообщил об уязвимости компании и был вознагражден.

Всего исследование заняло у меня 6–7 часов — принимая во внимания те пару часов, что я боролся с желанием очистить YouTube-канал Джастина Бибера, ха-ха

Не так давно Google предложил молодому программисту казанской студии Flatstack поучаствовать в программе Vulnerability Research Grants. По условиям проекта компания выдает участнику аванс в размере 1337 долларов, а программист должен потратить свое время на изучение продуктов Google на момент уязвимостей. Если исследователь находит ошибку в сервисе, и она принимается в Google, то плюс к авансу он получает дополнительную награду.

Хисматуллин первым делом решил заняться изучением YouTube Creator Studio — приложением для владельцев каналов на YouTube, которое позволяет управлять своим контентом, отвечать на комментарии и смотреть статистику.

Спустя пару часов он обнаружил логическую ошибку в системе видеотрансляций. Казанский программист нашел способ удалять любые ролики на YouTube через обращение к YouTube Creator Studio, используя токен своей сессии вместо ключа авторизации. Чтобы проиллюстрировать найденную уязвимость, он удалил собственное видео на YouTube , оставаясь незалогиненным.

Хисматуллин отправил отчет о найденной ошибке в штаб-квартиру Google, когда там было раннее субботнее утро. Однако отреагировали они очень быстро. Еще бы, если бы какой-нибудь продвинутый, но непорядочный пользователь разузнал об уязвимости, он смог бы удалить огромное количество роликов за короткое время.
За несколько часов программисты Google разобрались с этой уязвимостью, а казанскому гению отправили награду в 5 тысяч долларов.

0 0 0 0 0
Вконтакте
facebook