Youtube’da İstenilen Videoyu Silebilen Açık Bulundu

1864

Kamil Hismatullin isimli bir kullanıcı Youtube’da istediği videoyu silebileceğini farketti. Kendi web sitesinden adım adım nasıl yaptığını anlatan Hismatullin, daha sonra bu açığı Google’a bildirdiğini ve ödül olarak 5 bin dolar aldığını belirtti. Adım adım açığın hikayesi Hismatullin’in kendi ifadeleriyle şöyle;

Hassasiyet Araştırma Ödeneği

“Bir kaç ay önce Google “Hassasiyet Araştırma Ödeneği” adında deneysel bir programı duyurdu. Bu kesinlikle güzel bir fikir ve Google’a yeni şeyler icat edip denediği için teşekkür ediyorum.

Sistem şöyle çalışıyor; Google Güvenlik ekibi sürekli raporlama yapan kullanıcıları seçiyor ve onlara içerisinde Google ürünlerinin ve servislerinin listesi olan bir grup link veriyor ve kullanıcılardan test etmek için bunlardan birini seçmesini ve 1337 dolarlık parayı kabul etmesini istiyor. Aksi takdirde kullanıcının “kabul etmiyorum”a basıp ödülü ve görevi başkasına yönlendirmesini bekliyor. Bu programın aracı aktif kullanıcılar aracılığıyla bu servislerde bir hassasiyet yani açık varsa bulunmasını sağlamak. Eğer bir açık bulunursa ilk başta göreve katılım için verilen 1337 doların yanı sıra büyük bir miktar para daha veriliyor.

Youtube’daki Güvenlik Sorunu

 

Devamlı bir google raportörü olarak, bu mail bana da geldi ve bir kaç hafta sonumu Google ürünlerinin güvenliğini incelemek için harcamaya karar verdim. Youtube Creator Studio’yu hedef olarak seçtim ve daha bir kaç saat içerisinde 2 adet raporlama yaptım. Bir tanesi çok kolay suistimal edilebilecek ancak çok da etkili olabilecek bir şeydi. Youtube Creator Studio’da canlı yayınların nasıl çalıştığını inceledim. CSRF veya XSS sorunlarına eğildim ve hiç beklemediğim bir şekilde Youtube’daki herhangi bir video’yu silebileceğim bir kod buldum.

POST https://www.youtube.com/live_events_edit_status_ajax?action_delete_live_event=1
event_id: ANY_VIDEO_ID
session_token: YOUR_TOKENBuna cevaben de ekranımda şunu gördüm;
{ "success": 1}Ve video silinmişti!
Bu da videosu:

Toplamda araştırma için 6-7 saat harcadım ve bunun içerisinde Justin Bieber’in bütün kanalını silmemek için kendi içinde verdiğim savaş da var.

San Francisco’da Cumartesi sabahının erken saatleri olmasına rağmen attığım rapor mailine Google ekibi çok hızlı bir dönüş yaptı. Zira bu açık yanlış ellerde Youtube içinde bir dakikada muazzam bir kargaşaya neden olabilirdi. Bu sorun bir kaç saat içersinde çözüldü ve Google bana 5 bin dolarlık bir ödül verdi.

Siz Bu Konu Hakkında Ne Düşünüyorsunuz?