Schwerwiegende Sicherheitslücke auf YouTube gestattet Löschen von beliebigen Videos

Ab und zu erwischt es auch Software-Giganten wie YouTube und Google, wenn es um Sicherheitsprobleme geht. Es ist erst einige Tage her, dass Kamil Hismatullin, ein Sicherheitsforscher eine kritische Sicherheitslücke auf YouTube entdeckte, wodurch er jedes beliebige YouTube Video im Handumdrehen löschen könnte.

Tag der Wahrheit für alle verhassten YouTube Videos

Kamil war eigentlich gerade auf der Suche nach einer Schwachstelle mittels Cross Site Request Forgery (CSRF) und Cross Site Scripting (XSS), als er zufällig über diesen gravierenden Fehler stolperte. Folgende Zeilen waren ausschlaggebend:

POST https://www.youtube.com/live_events_edit_status_ajax?action_delete_live_event=1

event_id: ANY_VIDEO_ID
session_token: YOUR_TOKEN

Obigen Code hat der Schwachstellen-Jäger Kamil erfolgreich getestet, und damit das angegebene Video gelöscht. Unglaublich, aber effektiv. Dazu ergänzt Kamil:

„Normalerweise verbringe ich 6-7 Stunden auf der Suche nach einer Schwachstelle. Im aktuellen Fall kommen noch ein paar Stunden hinzu, in denen ich der Vesuchung widerstehen musste, Bieber’s Video-Channel mal aufzuräumen hehe“

Erfreulicherweise wurde der Fehler seitens YouTube binnen weniger Stunden behoben. Nichtsdestotrotz war es nur haarscharf an einer mittleren Katastrophe vorbei, denn ein solcher Fehler kann in den falschen Händen immensen Schaden anrichten. Kamil selbst kann sich über eine entsprechend große Belohnung von Google freuen, schließlich hat er die größte Video-Plattform der Welt vor dem Schlimmsten bewahrt.

Wir wünschen einen guten (Video-reichen) Tag!