قال المبرمج الروسي كاميل خيسمتالين إنه اكتشف طريقة لمسح أي فيديو من على موقع يوتيوب.
وأضاف مازحا إنه راودته فكرة أن يمسح قناة المغني جاستن بيبر الغنائية، من على يوتيوب.
ونشر المبرمج على الإنترنت إثباتا، يظهر كيف أنه بمجرد أن ينسخ جزء من العنوان الإلكتروني للفيديو يمكنه استخدامه في مسح هذا الفيديو، خلال ثلاثين ثانية.
وبدلا من أن يستغل هذا الاختراق، أبلغ به الشركة الأم غوغل صاحبة موقع يوتيوب والتي منحته مكافأة.
وكتب خيسمتالين ضاحكا “لقد قضيت ما بين ست إلى سبع ساعات في البحث، بما في ذلك ساعتان قاومت خلالهما رغبتي في مسح قناة جاستن بيبر”.
وأضاف “على الرغم من أن الوقت كان مبكرا صباح السبت في سان فرانسيسكو، حينما أرسلت تقريرا إلى شركة غوغل عن هذه الثغرة، إلا أن الفريق الأمني للشركة رد علي بمنتهى السرعة، لأن هذه الثغرة قد تتسبب في خسائر بالغة في غضون دقائق، إذا وقعت في الأيدي الخاطئة”.
وقال: “هذه الثغرة يمكن استخدامها في ابتزاز الأشخاص، أو تعطيل يوتيوب ببساطة عبر مسح أعداد هائلة من مقاطع الفيديو، في غضون وقت قصير للغاية”.
وأضاف: “لقد تم إصلاح هذا العيب خلال عدة ساعات، وكافأتني شركة غوغل بخمسة آلاف دولار، ولحسن الحظ لم يتم مسح أي من فيديوهات بيبر”.
وكتب خيسمتالين أنه اكتشف هذا العيب، خلال تفحصه لتطبيق ستديو يوتيوب للمبتكرين YouTube Creator Studio، وهو تطبيق يسمح لمصممي الفيديوهات بأن يطلعوا على البيانات التحليلية، للمقاطع التي رفعوها على الموقع.
وتسمح هذه الثغرة بمسح أي فيديو إذا كتبت جزء من معرف حدث الفيديو، والذي قد يكون موجود في عنوانه الإلكتروني، وسلسلة طويلة من الحروف والأرقام تعرف بـ”رمز التحقق”، ويفترض أنها تعمل ككلمة مرور.
وتتلخص المشكلة التي اكتشفها المبرمج الروسي في أن الخدمة تقبل أي رمز لطلب مسح الفيديو، بدلا من أن تطلب الرمز الذي يمتلكه حساب الشخص الذي رفع مقطع الفيديو.
وهذا يعني أن خيسمتالين يمكنه ببساطه نسخ رمز من حسابه الشخصي، واستخدامه في مسح فيديوهات رفعها أشخاص آخرون.
وقال المبرمج إنه قضى وقتا في البحث عن الثغرات في منتجات غوغل، بعد أن منحته الشركة في وقت سابق 1337 دولار.
وتقدم شركة غوغل هذه الأموال كجزء من برنامج لتشجيع الأشخاص، الذين أبلغوها في وقت سابق عن ثغرات بهدف اكتشاف المزيد منها.
ويضع البرنامج سقفا للمدفوعات، مما قلل من المنحة التي حصل عليها خيسمتالين.
وعلق: “لكي أكون صادقا توقعت ما بين 15 إلى 20 ألف دولار. لقد رغبت في كتابة شكوى إلى غوغل، لكني أعدت قراءة قواعدها، وفهمت أن غوغل لا يمكنها أن تدفع لي أكثر من ذلك”.
وأضاف: “فيسبوك ليس لديه حد أقصى للمكافآت، لذلك فإن باستطاعتهم أن يدفعوا أي مبلغ يريديون”.
المصدر : BBC