Egy orosz hekker, Kamil Hismatullin alig 6-7 óra alatt felfedezett egy sebezhetőséget a Youtube-on, amit kihasználva bármelyik videót eltüntethette volna az oldalról. Hismatullin nem élt vissza a helyzettel, és tájékoztatta a Google-t, pedig nagyon viszketett a tenyere, hogy letörölje Justin Bieber hivatalos oldalát.
A nagyobb tech cégek, mint a Facebook vagy a Google gyakran fizetnek a szakértőknek, akik sebezhetőséget találnak a szolgáltatásaikban. A Google januárban indította el a saját programját, a Vulnerability Research Grant Rulest, néhány száztól több ezer dollárig terjedő díjazást kínálva a szemfüles programozóknak. Több szem többet lát – így jobb eséllyel előzhetik meg, hogy hozzáférjenek a személyes adatokhoz.
Amit Hismatullin fedezett fel, az valószínűleg példa nélküli:
Az esetről egy videót is készített; mint kiderült, csak néhány sort kellett módosítania a kódban, hogy bármilyen videót eltüntethessen.
Hismatullin a Youtube Video Creator kódjában turkálva fedezte fel a logikai hibát, amivel törölhette volna az összes videót a Youtube-ról. Ki is próbálta, hogy működik-e:
POST https://www.youtube.com/live_events_edit_status_ajax?action_delete_live_event=1
event_id: ANY_VIDEO_ID
session_token: YOUR_TOKEN
mire válaszként azt kapta, hogy
{
"success": 1
}
, vagyis a művelet sikerült.
A Google 5000 dollár jutalmat fizetett a hekkernek. Nem tűnik soknak, de Hismatullin csak 6-7 órát matatott a kódban, mire felfedezte a hibát, és további négy órát vett igénybe, hogy legyőzze a kísértést, és törölje Justin Bieber videócsatornáját. Miután jelentette az esetet, a Google villámgyorsan felvette vele a kapcsolatot, és néhány órán belül kijavították a hibát.