Vulnerabilidad en Youtube permitió borrar cualquier video
El investigador de seguridad Kamil Hismatullin descubrió una
vulnerabilidad (grave) en la plataforma de vídeos online Youtube
mediante la cual, aprovechando un problema en la lógica de una de las
funcionalidades, podría borrar cualquier vídeo subido de cualquier
usuario.
El script en cuestión se encuentra en la siguiente URL:
El cual acepta, mediante método HTTP POST, dos parámetros:
event_id: identificador del video a eliminar
session_token: token de sesión válido de cualquier usuario diferente al del propietario del vídeo a eliminar
Esta funcionalidad se utiliza dentro de la aplicación YouTube Creator Studio,
la aplicación de edición de videos para usuarios de Youtube tanto para
iOS como para Android, en la que entre otras funciones, también permite
la gestión de los videos.
A continuación enlazamos el video que demuestra la vulnerabilidad y su explotación:
Como veréis, una vulnerabilidad grave, con una explotabilidad muy sencilla.
Si bien Kamil no ha recibido una gran cantidad de dinero por esta
vulnerabilidad en base a su impacto (5.000$), por apenas 5/6 horas de
investigación no está mal.
Imaginad por un momento haber elegido otrosvideos más importantes para ser eliminados...
