"Este video ha sido eliminado por el usuario"... Pero, ¿cómo? ¡Si acabo de verlo!

Y es que en cuestión de segundos, Kamil Hismatullin lograba borrar videos publicados en YouTube enviando su ID en una solicitud POST, junto a cualquier token. Así lo reportó The Register.

El desarrollador de software ruso afirmó: "Quería encontrar problemas como CSRF o XSS, pero inesperadamente descubrí un bug que me dejó borrar cualquier video en YouTube con solo una solicitud".

Las solicitudes POST se usan, básicamente, para mostrar más información de la web. Así lo explica Google:

Nuestras solicitudes POST se utilizan fundamentalmente para rastrear recursos que las páginas solicitan de forma automática, imitando lo que visualizaría un usuario normal cuando abre una URL en su navegador. Esto evolucionará con el tiempo a medida que descubramos heurísticas más adecuadas, pero por el momento este es el sistema que estamos utilizando.

A continuación podemos ver el procedimiento realizado por Hismatullin al explotar este bug en YouTube:

La falla fue reportada el sábado 28 de marzo y Google le pagó 5 mil dólares por el hallazgo, además de otros 1.331 como parte del programa Vulnerability Research Grants, que recompensa a los investigadores que revisan la seguridad de sus productos y servicios -incluso en el caso de que no hallen vulnerabilidades.

"Esta vulnerabilidad podía causar estragos absolutos en cuestión de minutos en manos que pudieran extorsionar a las personas o simplemente interrumpir YouTube borrando grandes cantidades de videos en un período de tiempo muy corto", explicó Hismatullin. Tras pasar siete horas buscando los bugs, dijo a The Register, resistió el impulso de limpiar el canal de Justin Bieber.