YouTube: Sicherheitslücke ermöglichte Löschung von beliebigen Videos

 

Im Rahmen des Bug Bounty-Programms zahlt Google seit vielen Jahren eine Prämie für gemeldete Sicherheitslücken in den eigenen Produkten und hat Anfang diesen Jahres ein neues Programm gestartet, mit dem man den Bugjägern auch die Arbeitszeit zur Auffindung bezahlt. Jetzt hat ein Teilnehmer dieses Programms eine schwere Lücke in YouTube entdeckt mit der es ohne großen Aufwand möglich gewesen ist, JEDES beliebige YouTube-Video ohne Berechtigung zu löschen. Nachdem Google die Lücke gestopft hat, veröffentlicht Kamil Hismatullin nun seine Vorgehensweise.

Google mag die weltweit besten Programmierer beschäftigen, aber auch diese werden nach längerer Zeit betriebsblind und sehen vielleicht sehr einfache Sicherheitslücken irgendwann nicht mehr. Durch das Bug Bounty-Programm, das mittlerweile viele Unternehmen übernommen haben, erhöht man nun zumindest die Wahrscheinlichkeit dass solche Lücken direkt gemeldet und gar nicht erst ausgenutzt werden. Kamil Hismatullin hat nur durch Zufall herausgefunden dass er jedes beliebige YouTube-Video löschen konnte – und das ohne großen Aufwand.

Ursprünglich wollte Kamil nur reine Sicherheitslücken im YouTube Creator Studio suchen und hat sich dabei vor allem auf XSS-Lücken spezialisiert. Nur durch Zufall ist ihm aufgefallen dass das Studio mit einer relativ einfachen Anweisung die Möglichkeit hat jedes beliebige Video zu löschen. Alles was es dazu benötigt ist eine einfache POST-Anweisung mit nur drei Angaben: Die Aufforderung zum Löschen, die ID des Videos und ein gültiges Token für die Session. Alle drei Werte sind innerhalb von nur 30 Sekunden beschafft und das Video kann gelöscht werden.

POST https://www.youtube.com/live_events_edit_status_ajax?action_delete_live_event=1
event_id: ANY_VIDEO_ID
session_token: YOUR_TOKEN

Kamil konnte mit diesem einfachen Befehl ein Video löschen auf das er eigentlich keinen Zugriff haben dürfte – und das auch noch ohne eingeloggt zu sein. YouTube überprüft bei dieser Anweisung also nicht, ob der Nutzer der Besitzer des Videos ist – eine mehr als schwere Lücke. Er hatte eine Zeit lang darüber nachgedacht ob er den gesamten Kanal von Justin Bieber löschen soll, hat sich dann aber doch dazu durchgerungen die weltweiten Mädchenherzen nicht zu brechen und stattdessen den Bug an Google zu melden 😉

Fast schon skandalös ist allerdings dass Google dem Entdecker NUR 5.000 Dollar für diesen Bug zahlt. Zwar ist dies der Höchstbetrag in diesem Programm, aber nach eigenem Ermessen hätte er vielleicht noch etwas drauflegen können. Mit einem einfachen Script hätte er immerhin zehntausende von Videos löschen können bevor YouTube dieser Bug aufgefallen wäre – und das hätte gewaltig am Image gekratzt und negative Schlagzeilen produziert.

Es ist fast schon erschreckend wie einfach dieser Vorgang gewesen ist, nicht auszudenken wenn dies bei anderen Google-Produkten ebenfalls so einfach möglich wäre. Spätestens jetzt dürfte man aber wohl alle Produkte mit einer Prüfung ausgestattet haben, ob der löschende Nutzer tatsächlich die Berechtigung für diese Operation hat. Lobend hat Kamil erwähnt, dass YouTube innerhalb kürzester Zeit auch am Wochenende geantwortet hat und den Bug gestopft hat.

» Erklärung der Schritte bei Kamil Hismatullin

[WinFuture]

---

---