Yorum kopyalamaya izin veren YouTube açığı!
Bu açık onarılmasaydı, yaptığınız yorumları ilgisiz, çok farklı yerlerde görebilirdiniz!
Google'ın YouTube'daki garip bir güvenlik açığını, bir çift güvenlik araştırmacısının uyarısıyla kapadığı ortaya çıktı.
Araştırmacı Ahmed Aboul-Ela, blog'unda arkadaşı Ibrahim Mosaad'da birlikte YouTube'da çoğu hata avcısının rastlamadığı bir sorun bulduğunu yazdı. Araştırmacıların bulduğu sorun, YouTube'un yorumları yayınlamadan önce incelemeye almasıyla ilgili bir ayarda bulunuyor. Bu işlev etkinleştirildiğinde yorumlar, "held for review" başlıklı bir kontrol panelinde listeleniyor. Aboul-Ela, yorum onaylandığında Google'a gönderilen http isteğini incelediğini ve isteğin "comment_id" ve "video_id" adlı iki parametreden oluştuğunu söylüyor.
Araştırmacıya göre video_id parametresine farklı bir değer verildiğinde YouTube hata döndürüyor, yani buraya kadar her şey normal görünüyor. Ancak content_id'de Google'ı yanıltmak için farklı bir videonun kimlik numarasının kullanılması halinde hata oluşmuyor ve yorum, farklı bir videoya kopyalanmış oluyor.
Aboul-Ela, bu yöntemle yorumu kopyaladığında ilk yorumun silinmediğini, yorumun sahibinin yorumun başka bir videoya kopyalandığına dair herhangi bir uyarı almadığını söylüyor.
Google tarafından onarılan açığın, videoları olduğundan daha popüler göstermek için veya bir yorumu ünlü bir kişi tarafından yapılmış olarak göstermek için kullanmaya izin vereceği söylenmişti. Hata hakkında 25 Mart'ta bilgi sahibi olan Google, onu bulan araştırmacılara toplam 3.133,70 dolar ödül ödemiş bulunuyor.