Студент ИВМиИТ КФУ Камиль Хисматуллин обнаружил   в "движке" популярного видеохостинга "YouTube" ошибку, позволяющую удалить абсолютно любой загруженный на сайт ролик.

Камиль постоянно принимает участие в программе поиска уязвимостей "Google Vulnerability Research Grants" - своеобразном "конкурсе хакеров". В разное время парень анализировал многие сервисы Google, а на этот раз взялся за "латание" "YouTube Creator Studio" - изучал систему "live_events/broadcasting" на предмет наличия брешей CSRF или XSS. В какой-то момент программист нашел логическую ошибку, которая позволяла удалять с сервиса "в один клик" любое видео. Для этого нужно было всего лишь задать простейший запрос. Какой именно, конечно же, не сообщается.

"Я не первый раз участвую в "Bug Bounty". Это программа, заключающаяся в том, что человек находит брешь в системе, а латает ее уже компания - владелец системы. Впервые про эти программы я услышал в апреле прошлого года и решил попробовать что-нибудь поискать. В результате удалось найти парочку уязвимостей типа "Missing Function Level Access Control" на "YouTube", которые позволяли обходить верификацию на сервере и получать доступ к приватной информации любого пользователя. С тех пор я начал активно искать бреши, несколько раз находил уязвимости (в том числе и февральскую уязвимость про удаление любого видео на "YouTube") на "Google", а также участвовал в программах от таких компаний, как "GitHub", "Mail.ru," "Atlassian". Это - своего рода хобби",- рассказал Камиль о своей деятельности.

Студент также отметил, что в штаб-квартире "Google", когда он отправил отчет об уязвимости было раннее утро, однако ответ пришел необычайно быстро. За свои труды программист получил награду в размере свыше 6000 долларов.

"В целом, я потратил на исследования 6-7 часов, из них около 2 часов я боролся с желанием очистить канал поп-певца Джастина Бибера", - пошутил программист.