Youtube öz videoxostinqində kənar istifadəçilərə məxsus videoçarxları silmək səlahiyyətlərini verən boşluğu aradan qaldırdılar. İnformasiya təhlükəsizliyi departamenti üzrə olan mütəxəssislər boşluq olan hesabata (bug report) operativ şəkildə reaksiya verdilər. Onlar başa düşürdülər ki, bu boşluq kütləvi informasiya vasitələrinə yayılarsa dünyaca məşhur Youtube videoxostinqində xaos yaranar.
Eksploitin müəllifi Kamil Xismatulin bildirmişdir ki, o Google şirkətinin keçirdiyi boşluq axtarışı üzrə yarışlarda daima iştirak edir. Bu dəfə isə o hədəf olaraq YouTube Creator Studio seçir və live_events/broadcasting sistemində CSRF və XSS boşluqlarının olub olmadığı barədə axtarışlar edir. Gözlənilmədən o bir boşluq aşkar edir, hansı ki, Youtube-dan sadə sorğu vasitəsilə istənilən videoçarxı silmək imkanı verir:
POST https://www.youtube.com/live_events_edit_status_ajax?action_delete_live_event=1
event_id:ANY_VIDEO_ID
session_token:YOUR_TOKEN
Cavabda isə: "success": 1 gəlir
Budur artıq video silinir.
Google şirkəti bu boşluğu ani olaraq aradan qaldırdı, xakerə isə mükafat olaraq 5000$ verildi.
28 mart 2024
05 mart 2024
23 fevral 2024
13 fevral 2024
26 yanvar 2024
06 yanvar 2024
24 noyabr 2023
13 noyabr 2023
© 2011-2024 Bütün Hüquqlar Qorunur
