22-летний программист и исследователь безопасности из Казани Камиль Хисматуллин нешел уязвимость в YouTube, позволившую ему удалить любой ролик на видеохостинге — однако он не воспользовался ей, а сообщил в службу поддержки и получил награду. Об этом парень написал в своем блоге.
Некоторое время назад программист, работающий в студии Flatstack получил письмо от Google с приглашением принять участие в Vulnerability Research Grants – программе поиска уязвимостей. По ней компания авансом предлагает небольшую сумму (в данном случае $1337) с расчетом на то, что исследователь проведет определенную работу по поиску ошибок. В случае, если будет найдена какая-либо уязвимость, компания выплатит не только аванс, но и награду за находку.
Занявшись поиском, Хисматуллин нашел в системе видеотрансляций логическую ошибку: ее устройство позволяло удалить любое видео на сервисе. В качестве подтверждения он опубликовал видео, где он удаляет собственный контент, оставаясь незалогиненным на YouTube.
Google уже устранил уязвимость, а добросовестному исследователю выплатил награду в размере $5 тыс.
