[tortex]

Un investigador de seguridad descubrio una vulnerabilidad crítica en el sitio web YouTube. Un Ruso llamado Kamil Hismatullin descubrió una vulnerabilidad muy simple que le permitió eliminar cualquier vídeo de YouTube con un solo clic.

Hismatullin buscaba posibles Cross-Site Scripting (XSS) o Cross-Site Request Forgery (CSRF) fallas en YouTube Studio Creator. Él fue capaz de eliminar con éxito cualquier vídeo presente en YouTube con sólo pasar el número único de identidad del vídeo en una petición POST.

El error aunque parece ser muy simple, es muy crítico de naturaleza. Si un hacker sabia de esta vulnerabilidad podría haber dañado toda la red YouTube derribando todos los videos en cuestión de minutos.

Hismatullin, en uno de sus mensajes, dijo,

Aunque era la mañana de un sábado en San Francisco cuando informé el problema, el equipo de seguridad de Google respondió muy rápido, ya que esta vulnerabilidad podría crear estragos en cuestión de minutos en las manos equivocadas utilizado esta vulnerabilidad para extorsionar a la gente o simplemente interrumpir YouTube eliminando grandes cantidades de vídeos en un período muy corto de tiempo.

El gigante de los buscadores ha solucionado el problema en cuestión de horas después de que el investigador informó acerca de este error a Google. Hismatullin recibió $5,000 dls en efectivo como recompensa de Google por descubrir y denunciar el problema crítico que podría haber creado estragos. El hacker también recibio un pago extra de $1.337 dls bajo el régimen de pago por vulnerabilidad preventiva de la empresa.

Fuente