Казанский программист Камиль Хисматуллин обнаружил уязвимость в сервисе YouTube, которая позволяет удалить все ролики с видеохостинга. Об этом парень рассказал в своём блоге.

Камиль отметил, что уязвимость была обнаружена в системе YouTube Creator Studio – сервиса, который позволяет авторам просматривать аналитику об их видео, загруженных через приложение. Программист заметил, что из-за бага любой ролик мог быть удалён за полминуты с помощью копирования части адресной ссылки видео и аутентификационного маркера (или токена), который работает как пароль.

По словам Хисматуллина, проблема заключалась в том, что система воспринимала любой аутентификационный маркер, тогда как по правилам она должна распознавать только токен, который принадлежит аккаунту пользователя, загрузившего видео. Именно поэтому копирование любого токена позволяло удалить ролики других пользователей без каких-либо трудностей.

В своём блоге программист отметил, что обнаружение бага заняло от 6 до 7 часов. Также известно, что Камиль написал Google, которая является владельцем YouTube, об уязвимости в рамках запущенной в январе программы компании по поиску уязвимостей в её сервисах, на что интернет-гигант ответил незамедлительно.

В течение нескольких часов компания устранила неисправность сервиса и выдала парню вознаграждение в размере пять тысяч долларов.