Une vulnérabilité permettait l'effacement de n'importe quelle vidéo de YouTube

Par:
fredericmazue

mar, 07/04/2015 - 13:33

Google a du avoir une belle peur rétrospective. Une vulnérabilité de YouTube permettait d'effacer n'importe quelle vidéo très simplement.

La vulnérabilité a été découverte par le hacker russe Kamil Hismatullin qui n'en est pas à son coup d'essai dans ce domaine. Kamil décrit la faille sur son blog. Pour effacer une vidéo lambda de YouTube, il suffisait de poster la requête POST qui va bien, depuis l'application Youtube Creator Studio, en passant en paramètres l'identifiant de la vidéo visée, et un token de session. Démonstration dans la vidéo ci-dessous.

Google a immédiatement corrigé la faille et octroyé une prime de 5 000 dollars de récompense à Kamil. Ce qui est relativement peu au regard de l'importance de la vulnérabilité et de la facilité qu'il y avait à l'exploiter. Dans le fil de discussion de son billet, Kamil se dit déçu par le montant de cette prime. Il espérait une récompense entre 15 000 et 20 000 dollars.