Een beveiligingsonderzoeker heeft in YouTube een kwetsbaarheid ontdekt. Hierdoor kon hij elke video op deze site verwijderen. Google had Kamil Hismatullin een “beurs” gegeven om te zoeken naar kwetsbaarheden in Google-diensten.
Twee maanden geleden kondigde Google een nieuw experimenteel programma voor beveiligingsonderzoekers aan. Vooraf kregen onderzoekers een financiële beloning om kwetsbaarheden te zoeken. Hismatullin onderzocht YouTube Creator Studio. Dit is een app waar YouTube-gebruikers hun kanaal kunnen beheren en statistieken kunnen opvragen.
Video-ID en sessietoken
De onderzoeker ontdekte een bug waardoor hij elke video op YouTube kon verwijderen met slechts één verzoek: het opgeven van een video-ID met eigen sessietoken was voldoende. Hismatullin rapporteerde het probleem op een zaterdagochtend waarna Google het binnen een paar uur verholpen had. De onderzoeker ontving 5.000 dollar voor zijn bugmelding. Hij maakte een demonstratievideo als bewijs.
Bugbeloning
Eind januari kondigde Google aan zijn beloningsprogramma verder uit te breiden. Er is ook geld te verdienen met beveiligingslekken in Google-applicaties op Android en iOS. Sindsdien zijn er “beurzen” voor beveiligingsonderzoekers, wat inhoudt dat Google onderzoekers betaalt, ook al vinden ze geen kwetsbaarheden. Als onderzoekers met een “beurs” lekken vinden, ontvangen ze ook een bugbeloning.