YouTube: Bug erlaubte das Löschen jedes beliebigen Videos

Google, Sicherheitslücke, Youtube, bug bounty, Kamil Hismatullin Google, Sicherheitslücke, Youtube, bug bounty, Kamil Hismatullin
Der Suchmaschinenkonzern Google benötigte nur Stunden um eine schwerwiegende Sicherheitslücke auf seiner Video-Plattform YouTube zu beheben. Über den Bug war es möglich, jedes beliebige Video auf der Seite zu löschen. Automatisiert hätte man so binnen weniger Sekunden ganze Channels leeren können.

Entdeckt wurde das Problem vom Sicherheitsforscher Kamil Hismatullin. Dieser hatte in der Vergangenheit bereits mehrere Fehler an Google gemeldet und wurde daraufhin eingeladen, am neuen Bug Bounty-Programm teilzunehmen. Hier belohnt der Konzern Sicherheits-Forscher nicht nur, wenn sie gefundene Sicherheitslücken meldeten, sondern schon im Vorfeld für die Bereitschaft, überhaupt auf die Suche zu gehen.

Wie Hismatullin schilderte, nahm er die Einladung an und entschied sich dafür, auf die Suche nach Cross-Site-Scripting-Lücken im YouTube Creator Studio zu gehen. Zufällig stieß er dabei aber auf ein logisches Problem in der Software. Dieses erlaubte es einem Angreifer, dem System vorzugaukeln, selbst der Uploader eines beliebigen Videos zu sein. Dafür wurde letztlich nur die Video-ID und das persönliche Token benötigt.

Wie der Sicherheitsforscher scherzhaft anmerkte, kämpfte er einige Zeit mit sich, ob er den Bug melden oder doch lieber den Channel von Justin Bieber löschen sollte. Als er seinen Bericht an Google schickte, gingen in Kalifornien wohl auch sofort die Alarmglocken an. Obwohl es dort gerade ein früher Samstag Morgen war, erhielt Hismatullin umgehend eine Antwort. Binnen weniger Stunden war es den Entwicklern dann gelungen, die Lücke zu schließen.

Nun, da keine Gefahr mehr für die Videos auf YouTube besteht, veröffentlichte Hismatullin ein Video, in dem er sein Vorgehen demonstriert. Google zeigte sich für den Hinweis zusätzlich erkenntlich und entlohnte den Sicherheitsforscher zusätzlich zu dem bereits vorabgezahlten Betrag mit weiteren 5.000 Dollar aus der Bug Bounty-Kasse.
Dieses Video empfehlen
Kommentieren13
Jetzt einen Kommentar schreiben
 
Dieser Mann hätte ein Held sein können... Aber er hat es vergeigt...
 
@LoD14: Wäre er auch dein Held gewesen wenn er dein Kanal geleert hätte?

Ist doch egal ob justin bieber oder sonstwer. Ich mag den auch nicht. Aber deswegen muss man nicht so'n Müll machen.

Bei manchen isses wirklich ganz gut, das sie sowas nicht in die Finger kriegen. Sonst wäre youtube vllt tatsächlich leer gefegt worden. Gott sei Dank! hat es er gefunden und nicht ihr.

Da sieht man wieder die Mentalität der Gesellschaft. Traurig. Nur weil man was nicht mag, muss man wieder haten.
 
@De-M-oN: Ich hab keinen YouTube Kanal.
 
@LoD14: Jo weil DU was nicht magst muss alles gelöscht werden genau. Am besten nimmt man euch mal eure Existenzgrundlage, mal schauen wie toll du und deine Plusgeber das findet.
 
@picasso22: Jetzt sind drei der Stimmen in meinem Kopf beleidigt. Die restlichen gucken grad fern bzw whatsappen, aber alle lassen dir ausrichten: Wir nehmen deinen Kommentar nicht ernst. Aber wir raten dir, vielleicht auch nicht alles ernst zu nehmen, was so im Internet steht. Nur son Tipp von uns.
 
Wie gern ich Youtube Deutschland gesäubert hätte :(
 
@Shareme: Ich kann dich glaube sehr gut verstehen. Es gibt da ein nützliches Firefox Addon, ob es das für andere Browser gibt weiß ich leider nicht. https://addons.mozilla.org/de/firefox/addon/video-blocker/ Einfach exakt den Kanalnamen (Groß- und Kleinschreibung beachten, siehe Adressleiste) in die Blacklist eintragen, dann erscheinen Videos dieser Kanäle nicht mehr bei den Vorschlägen. Top 100 Liste -> http://de.youtube.wikia.com/wiki/Top_100/Deutschland Viel Spaß beim blocken!
 
Das Geld hat er sich auch verdient. Ich habe leider nicht das Talent solche komischen Seiteneffekte und Spitzfindigkeiten in Programmen zu finden, um so einen Beitrag zu leisten.
 
ach manno. das wärs doch mal gewesen ein buchstäblicher reset. wir wären befreit worden von millionen stunden sinnlosem mist der uns den blick auf nützliche sachen versperrt.
 
@Tea-Shirt: Ansichtssache. Find ich bisschen engstirnig seinen eigenen Geschmack über alles zu stellen. Zwingt dich ja keiner das anzusehen. Gibt sicher auch für dich interessante Videos. Also guck halt die.
 
@De-M-oN: ich guck sie mir ja auch nicht an. das problem ist das ich erstmal duruch einen haufen müll scrollen muss. und da ich natürlich nicht weiß welche videos mir nun weiter helfen muss ich halt doch einzelne anspielen und gucken was sie mir bringen. klar wer ist gerne hault videos anguckt oder wie andere leute für ihn mit überdrehter stimme und selbstgesprächen ein spiel durch spielen soll das tun. aber es gibt millionen videos mit unter 100 views die eifach unnötig server kapazitäten weg nehmen. wer ein video online stellen will sollte sich ein kopf um den nutzen machen. es sollte viel schärfere regeln geben für den upload. ewr einfach nur ein hobby spaß familien video teiln will kann sowas bequem privat machen und über diverse cloud speicher teiln... nur mal so ein kurzer denk anstoß. du suchst ein video über (aktuelles thema) das samsung s6. man wird ein paar hundert videos finden. du suchst also und findest nachdem du 3 für nutzlos gehalten hast endlich ein passendes. das hat dich 3 min gekostet. ... jetzt suchst aber nicht nur du sondern halt noch 100 mio andere danach das macht also 300 mio minuten. was da an lebenszeit verschwendet wird nur weil ein paar idioten sinnlose videos machen.
 
hats denn jemand nochmal ausprobiert wenig anders, vllt bekommt man auch 5k dollar
;)
 
delete www.youtube.com all videos grep "*cats*"
;) :D
Kommentar abgeben Netiquette beachten!