YouTube: Bug erlaubte das Löschen jedes beliebigen Videos
Der Suchmaschinenkonzern Google benötigte nur Stunden um eine schwerwiegende Sicherheitslücke auf seiner Video-Plattform YouTube zu beheben. Über den Bug war es möglich, jedes beliebige Video auf der Seite zu löschen. Automatisiert hätte man so binnen weniger Sekunden ganze Channels leeren können.
Entdeckt wurde das Problem vom Sicherheitsforscher Kamil Hismatullin. Dieser hatte in der Vergangenheit bereits mehrere Fehler an Google gemeldet und wurde daraufhin eingeladen, am neuen Bug Bounty-Programm teilzunehmen. Hier belohnt der Konzern Sicherheits-Forscher nicht nur, wenn sie gefundene Sicherheitslücken meldeten, sondern schon im Vorfeld für die Bereitschaft, überhaupt auf die Suche zu gehen.
Wie Hismatullin schilderte, nahm er die Einladung an und entschied sich dafür, auf die Suche nach Cross-Site-Scripting-Lücken im YouTube Creator Studio zu gehen. Zufällig stieß er dabei aber auf ein logisches Problem in der Software. Dieses erlaubte es einem Angreifer, dem System vorzugaukeln, selbst der Uploader eines beliebigen Videos zu sein. Dafür wurde letztlich nur die Video-ID und das persönliche Token benötigt.
Wie der Sicherheitsforscher scherzhaft anmerkte, kämpfte er einige Zeit mit sich, ob er den Bug melden oder doch lieber den Channel von Justin Bieber löschen sollte. Als er seinen Bericht an Google schickte, gingen in Kalifornien wohl auch sofort die Alarmglocken an. Obwohl es dort gerade ein früher Samstag Morgen war, erhielt Hismatullin umgehend eine Antwort. Binnen weniger Stunden war es den Entwicklern dann gelungen, die Lücke zu schließen.
Nun, da keine Gefahr mehr für die Videos auf YouTube besteht, veröffentlichte Hismatullin ein Video, in dem er sein Vorgehen demonstriert. Google zeigte sich für den Hinweis zusätzlich erkenntlich und entlohnte den Sicherheitsforscher zusätzlich zu dem bereits vorabgezahlten Betrag mit weiteren 5.000 Dollar aus der Bug Bounty-Kasse.
Entdeckt wurde das Problem vom Sicherheitsforscher Kamil Hismatullin. Dieser hatte in der Vergangenheit bereits mehrere Fehler an Google gemeldet und wurde daraufhin eingeladen, am neuen Bug Bounty-Programm teilzunehmen. Hier belohnt der Konzern Sicherheits-Forscher nicht nur, wenn sie gefundene Sicherheitslücken meldeten, sondern schon im Vorfeld für die Bereitschaft, überhaupt auf die Suche zu gehen.
Wie Hismatullin schilderte, nahm er die Einladung an und entschied sich dafür, auf die Suche nach Cross-Site-Scripting-Lücken im YouTube Creator Studio zu gehen. Zufällig stieß er dabei aber auf ein logisches Problem in der Software. Dieses erlaubte es einem Angreifer, dem System vorzugaukeln, selbst der Uploader eines beliebigen Videos zu sein. Dafür wurde letztlich nur die Video-ID und das persönliche Token benötigt.
Wie der Sicherheitsforscher scherzhaft anmerkte, kämpfte er einige Zeit mit sich, ob er den Bug melden oder doch lieber den Channel von Justin Bieber löschen sollte. Als er seinen Bericht an Google schickte, gingen in Kalifornien wohl auch sofort die Alarmglocken an. Obwohl es dort gerade ein früher Samstag Morgen war, erhielt Hismatullin umgehend eine Antwort. Binnen weniger Stunden war es den Entwicklern dann gelungen, die Lücke zu schließen.
Nun, da keine Gefahr mehr für die Videos auf YouTube besteht, veröffentlichte Hismatullin ein Video, in dem er sein Vorgehen demonstriert. Google zeigte sich für den Hinweis zusätzlich erkenntlich und entlohnte den Sicherheitsforscher zusätzlich zu dem bereits vorabgezahlten Betrag mit weiteren 5.000 Dollar aus der Bug Bounty-Kasse.
Verwandte Videos
-
YouTube: Warum die Video-Synchronisierung eine schlechte Wahl ist
-
Super Bowl 2024: YouTube lässt für NFL Sunday Ticket Vögel fliegen
-
Handelsplattform Joybuy getestet: Elektronik-Lieferung am Folgetag
-
The Pirate Bay: Die legendäre Torrent-Plattform jetzt als TV-Serie
-
Zeitreise: Jeff Bezos (mit Haaren) sagt 1997 Online-Shopping voraus
Verwandte Tags