Onderzoeker Kamil Hismatullin schrijft op zijn blog dat hij door Google werd uitgenodigd om de beveiliging van specifieke Google-diensten te controleren. Onderzoekers krijgen vervolgens betalingen als bugs worden gevonden.
Als onderdeel van deze Vulnerability Research Grants deed Hismatullin onderzoek naar Youtube Creator Studio, het deel van de videosite waar mensen hun eigen video’s beheren.
Hij kwam erachter dat het daar mogelijk was om met een paar regels code willekeurige video’s te verwijderen. Hij had alleen de openbare identiteitscode van de video nodig, plus een sessietoken die uit de broncode van Youtube kon worden gehaald.
“Ik heb totaal zes à zeven uur aan onderzoek besteed, inclusief een paar uur waarin ik de behoefte om het kanaal van [Justin] Bieber op te schonen verdrong”, schrijft Hismatullin.
Na het melden van de bug werd het probleem vlug opgelost door Google. De beveilingsonderzoeker kreeg een beloning van 5.000 dollar voor het vinden van de bug, plus nog eens 1.337 dollar onder het Vulnerability Research Grants-programma.
Bekijk hoe de verwijdermethode werkte: