Fehler behoben! Jeder konnte beliebige YouTube-Videos löschen

(Bild: Youtube)

Mit einer simplen Anfrage konnte Kamil Hismatullin jedes Video auf YouTube löschen. Der Entwickler machte dazu ein Video und darüber hinaus auch Google auf das Problem aufmerksam. Dafür erhielt Hismatullin den Höchstbetrag für Vulnerability Research Grants in Höhe von 5.000 Dollar.

YouTube-Videos sind in ihrer Unterhaltungs- und Informationsfunktion längst so selbstverständlich wie die Bauanleitung bei neuen Möbeln oder das Fernsehen. Umso beklemmender mag für viele das Gefühl sein, dass selbst die Videos jener Plattform alles andere als in Stein gemeißelt sind. Wie Hismatullin in einem Blog-Eintrag vom 31. März berichtet,  befand sich im Google-Webdienst YouTube Creator Studio die entsprechende Lücke, über die sich nicht nur die eigenen, sondern jedes beliebige YouTube-Video löschen ließ.

Hismatullin stellte durch Experimentieren fest, dass er als event_id die laufende Nummer eines beliebigen Videos angeben konnte. Er hat das Verfahren auch in einem Video – natürlich ebenfalls auf Youtube – dokumentiert. Wie er scherzhaft schreibt, war er in Versuchung, sämtliche Videos von und mit dem kanadischen Musiker Justin Bieber zu löschen.

Statt einer solchen Löschaktion entschloss er sich letztlich aber, Google im Rahmen des Bug-Reporting-Programms “Vulnerability Research Grants” zu kontaktieren. Tatsächlich wurde der Fehler noch am selben Tag behoben. Hismatullin erhielt 5000 Dollar – die Höchstsumme, die im Rahmen dieses Programms an Entdecker von Schwachstellen in Google-Diensten vergeben wird.

Der Entwickler verbrachte nach eigenen Angaben etwa sechs oder sieben Stunden mit der Suche nach Lücken, bevor er auf den logischen Fehler in Googles Dienst stieß. Er meldet Google regelmäßig Lücken.

Frohe Ostern: 10 coole (absichtliche) Easter Eggs auf YouTube!

Ein vergleichbar schwerer Fehler war im September 2013 bei Facebook entdeckt worden: Er steckte im Support-Dashboard-System und ermöglichte das Löschen beliebiger Fotos. Ähnlich wie jetzt bei Google konnten Angreifer selbst Links erstellen, die in einem erfolgreichen Löschvorgang resultierten.

Das Support Dashboard wird benutzt, um das Löschen von Fotos zu beantragen, die beispielsweise Rechte anderer verletzen. Dem Entdecker der Schwachstelle, dem indischen Sicherheitsforscher Arul Kumar, zahlte Facebook eine Belohnung von 12.500 Dollar.

Tags :Quellen:(Bild: Youtube)Via:Florian Kalenda, ZDNet.de

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Advertising