El hacker que pudo haber borrado todos los video de YouTube
Por unas cuantas horas, el hacker ruso Kamil Hismatullin tuvo en sus manos las posibilidad de borrar permanentemente los millones de videos de YouTube, causando un estrago incalculable no solo para Google, sino también para las miles de personas cuyos ingresos dependen del popular sitios de videos.
Algunas firmas de tecnología como Google y Facebook regularmente utilizan hackers para explorar (y reportar) posibles vulnerabilidad en sus sitios, de esta formas evitan que otros hackers menos escrupulosos causen daños irreparables.
Hismatullin es uno de esos hackers y según cuenta en su blog, en cuestión de horas descubrió una vulnerabilidad en YouTube que le permitía borrar cualquier (o todos) los videos del sitio como si fuera el autor del mismo.
Hismatullin solamente usó un script que se aprovechaba de una falla en la lógica de del código del YouTube, enviando un comando que borraba el video utilizando el número de identificación del video junto con el componente léxico (token) del mismo.
El script era similar a esto:
POST /live_events_edit_status_ajax?action_delete_live_event=1 HTTP/1.1
Host : www.youtube.com
…
event_id=<video id>&session_token=<any token>
La falla de seguridad es similar a la encontrada por Laxman Muthiyah en Facebook y que permitía a cualquier persona borrar fotos de Facebook aunque no fueran suyas.
Ambas vulnerabilidades están relacionadas con el control de acceso del la Interfaz de Programación de Aplicaciones (API)
En teoría el hacker ruso pudiera haber creado un programa que automatizara el proceso de borrar los videos utilizando esta falla de seguridad y lo más probable es que hubieran pasado horas antes de que Google detectara el problema.
Hismatullin dijo que apenas reportó la falla, los técnicos de Google se pusieron en contacto con el para estudiar el problema, y en unas horas Google había arreglado el código.
Hismatullin dijo que recibió $5 mil dólares de recompensa, aunque aclaró que consideraba que debía haber recibido más dinero dada la seriedad del bug y los problemas que hubiera causado si alguien más hubiera descubierto el problema.
Para los curiosos, aquí les dejo un video de Hismatullin utilizando la vulnerabilidad en YouTube.
Send to Kindle
