22-летний российский веб-мастер и программист из Татарстана Камиль Хисматуллин, изучающий сетевые продукты безопасности и работающий в одной из Казанских компьютерных студий, выявил брешь в YouTube-сервисе.
Характер уязвимости позволял, не идентифицируясь, удалять какие угодно ролики у абсолютно любого пользователя этого приложения. Несколько месяцев назад, как поясняет сам Камиль, ему пришло письмо от администрации Google с предложением участия в планируемых ими исследованиях на основе программы-гранта Vulnerability Research.
Как оказалось, представители поискового гиганта были отлично знакомы с родом деятельности молодого специалиста и сразу же предложили выплатить в рамках этого проекта авансовую сумму. По их мнению, это подстегивает избранных исполнителей к выполнению задачи, а именно: анализ продуктов от Google в плане уязвимости их безопасности. Если же участник программы отыщет реально слабые места в работе приложений, то он автоматически получает остальную сумму, заложенную грантом.
Программист решил «разобрать по винтикам» программу-дополнение Creator Studio для видео-сервиса YouTube. Хисматуллину понадобилось около двух с половиной часов, чтобы обнаружить в ней два серьезных недочета: ошибку в логике приложения, позволявшей удалять видео без авторизации.
Однако, про второй «ляп» он умолчал, видимо, на то есть основания, но добавил, что полное тестирование продукта заняло около 7 часов. Оба отчета программист переслал в YouTube, где их очень оперативно проанализировали и в результате выплатили ему 5000 долларов, засчитав выполненную работу.
