Bug no Youtube permitiu alteração dos tÃtulos dos vÃdeos. Veja entrevista com o descobridor do bug
Bug no Youtube permitiu que script trocasse nome de qualquer vÃdeo hospedado no site. Em poucos minutos, 1280 vÃdeos (e crescendo) já haviam sido afetados pelo mesmo usuário.
Esse final de semana foi bem tenso para os responsáveis pela segurança dos produtos do Google. Depois do problema com XSS no Orkut, hoje mais uma vulnerabilidade de um de seus produtos foi descoberta e explorada. Através da falha, QUALQUER usuário conseguiu alterar por quase 4 horas qualquer tÃtulo dos vÃdeos no site, independente se tivesse permissão ou não para isso.
Após ficar sabendo, entrei em contato com o @migueltarga, que junto com o @saadzim_, foram as primeiras pessoas a detectarem o problema e usar a vulnerabilidade para trocar os tÃtulos. Segue abaixo a entrevista, feita enquanto a vulnerabilidade estava no ar.
Jonny Ken: Segundo o RodLac, vc que descobriu a falha do youtube!
@migueltarga: exato,  eu descobri sim.
Você descobriu o bug do Youtube e falou que foi uma falha primária. Foi realmente tão primária assim? Qual foi o erro?
Sim, foi somente repetir uma requisição comum, alterando o id do filme
Reparei que os tÃtulos tem um padrão no nome. Você pode escolher o que quer colocar ou fica sempre dentro desse padrão “Fulano  e Beltrano amaram seu vÃdeo”?
Exatamente, pode editar como se o vÃdeo fosse seu.
Você falou como faz isso? Sabe se já tem mais gente explorando?
Foi um erro tão de principiante que o Google cometeu, que após muitos olharem, já acharam o erro.
(abaixo tem um link com o código fonte usado para explorar a falha)
Só é possÃvel alterar o nome ou é possÃvel fazer um XSS (Cross-site scripting) para roubar cookies?
Somente explorei esta parte. Escutei que existia uma falha para “tomar posse” do vÃdeo de algum autor, e acabei achando esse. Onde achei não é possÃvel explorar XSS.
Então NESSA falha os usuários não correm risco de perder suas contas. Essa falha que você citou é antiga? O google foi avisado?
Não tenho ideia de quanto tempo existe a falha. Não sou usuário nem mesmo fã de youtube, somente escuto algumas musicas às vezes. Só fui curioso por procurar falhas. Não avisei o google, eles nunca me escutam.
Ontem falei com o RodLac e com o Diogok a respeito disso. Pelo jeito o Google não dá muito ouvidos…
Sim, o suporte não é muito bom.
É comum isso em toda empresa? Tem casos que você conheça de empresas que trataram bem os descobridores de bugs?
Desconheço. Há algumas semanas me deletaram do orkut por descobrir uma falha deles.
Pessoal do Galo Frito, vencedores do VMB como melhor WebHit, tiveram os tÃtulos de seus vÃdeos alterados.
Você disse que para usar a falha é só ir trocando o ID e mandar ver. Pelo jeito, depois você criou algum robozinho que faz isso. Sabe quantas páginas você já alterou o nome?
Sei! Tenho uma lista que meu amigo Saad fez. Teve alguns que nós pulamos, mas foram quase todos.
http://www.youtube.com/user/JustinBieberVEVO
http://www.youtube.com/user/BritneyTVSME
http://www.youtube.com/user/TaylorSwiftVEVO
http://www.youtube.com/user/EminemVEVO
http://www.youtube.com/user/AkonVEVO
http://www.youtube.com/user/RihannaVEVO
http://www.youtube.com/user/LadyGagaVEVO
http://www.youtube.com/user/bandarestart
http://www.youtube.com/user/felipeneto
http://www.youtube.com/user/maspoxavida
http://www.youtube.com/user/descealetra
http://www.youtube.com/user/gzaiden
http://www.youtube.com/user/jessicah25
http://www.youtube.com/user/luansantanaoficial
http://www.youtube.com/user/cineVEVO
http://www.youtube.com/user/programagalofrito
http://www.youtube.com/user/ShaneDawsonTV2
http://www.youtube.com/user/ShaneDawsonTV
http://www.youtube.com/user/realannoyingorange
http://www.youtube.com/user/Anon1modaTP
http://www.youtube.com/user/shane
http://www.youtube.com/user/nigahiga
http://www.youtube.com/user/Fred
http://www.youtube.com/user/malhacao
http://www.youtube.com/user/band
http://www.youtube.com/user/break
http://www.youtube.com/user/rederecord
http://www.youtube.com/user/blink182VEVO
http://www.youtube.com/user/AmyWinehouseVEVO
http://www.youtube.com/user/bbcworldwide
http://www.youtube.com/user/discoverynetworks
http://www.youtube.com/user/oasisinetofficial
http://www.youtube.com/user/twitter
http://www.youtube.com/user/warnerbrosrecords
http://www.youtube.com/user/warnerbrosonline
http://www.youtube.com/user/espn
http://www.youtube.com/user/emimusic
http://www.youtube.com/user/skankvideos
http://www.youtube.com/user/naosalvo
http://www.youtube.com/user/RayWilliamJohnson
http://www.youtube.com/user/failblog
http://www.youtube.com/user/videosimprovaveis
http://www.youtube.com/user/jonlajoie
http://www.youtube.com/user/vevo
http://www.youtube.com/user/jonlajoie
http://www.youtube.com/user/vevo
http://www.youtube.com/user/moymoypalaboy
http://www.youtube.com/user/keeptheheat
http://www.youtube.com/user/rafinhabastos
http://www.youtube.com/user/BlackEyedPeasVEVO
http://www.youtube.com/user/SouljaBoy
http://www.youtube.com/user/beyonce
http://www.youtube.com/user/UniversalMusicFrance
http://www.youtube.com/user/madonna
http://www.youtube.com/user/universalmusicgroup
http://www.youtube.com/user/michaeljackson
http://www.youtube.com/user/pepsi
http://www.youtube.com/user/cocacola
http://www.youtube.com/user/ferrariworld
http://www.youtube.com/user/bmw
http://www.youtube.com/user/hollywoodrecords
http://www.youtube.com/user/MileyCyrusVEVO
http://www.youtube.com/user/windowsvideos
http://www.youtube.com/user/nasatelevision
http://www.youtube.com/user/daneboe
http://www.youtube.com/user/chelseafc
http://www.youtube.com/user/skolweb
http://www.youtube.com/user/skoltv
http://www.youtube.com/user/fcbarcelona
http://www.youtube.com/user/AerosmithVEVO
http://www.youtube.com/user/linkinparktv
http://www.youtube.com/user/rammsteintheband
http://www.youtube.com/user/playboy
http://www.youtube.com/user/palpitabrasil
http://www.youtube.com/user/google
http://www.youtube.com/user/GleeOnFox
http://www.youtube.com/user/barackobama
http://www.youtube.com/user/justintimberlaketv
http://www.youtube.com/user/NellyFurtadoVEVO
http://www.youtube.com/user/JamesMorrisonVEVO
http://www.youtube.com/user/ArquivoCH
http://www.youtube.com/user/kellyclarkson
http://www.youtube.com/user/acdc
http://www.youtube.com/user/nikefutebol
http://www.youtube.com/user/CSPAN
http://www.youtube.com/user/TimothyDeLaGhetto2
Ufa! Não tem o meu! Já sabe se mais alguém está usando o bug agora?
Sim, MUITA GENTE está usando ele. Vou liberar o código fonte assim que o bug acabar.
É um filho que fugiu do controle?
Criamos um monstro
Sabe que esse bug pode causar um problema gigantesco, não? Como a busca do google dá grande importância para o tÃtulo do vÃdeo, pode ser que a visitação dos vÃdeos despenquem absurdamente. Não tem medo que pelo fato de causar um prejuÃzo financeiro, o Google caia em vocês judicialmente, principalmente morando em um paÃs onde as leis funcionam? (Ele mora nos EUA)
Sim. Medo, claro, muito! A falha não foi minha, eles tem que entender isso.
Espero que eles tenham backup!
Verdade, porque eu fiz e parei. Várias pessoas continuam ai brincando… Será que eu tenho que ser culpado por tudo isso?
Posso mandar um beijo pro @saadzim_? Ele foi quem estava ao meu lado e recolheu a lista. O credito não é somente meu, se isso pode ser chamado crédito.
Você falou que não dá para roubar cookies. Além do tÃtulo, é possÃvel mudar outros dados, como descrição, tags, etc?
Desconheço.
Pergunte para o @saadzim_ se a lista de vÃdeos que ele escolheu foi meramente ao acaso (levando em consideração os números de visitantes) ou teve algum outro motivo?
Segundo ele, foi os que viu na frente e canais de tv.
Até o Vlogger Felipe Neto do “Não faz sentido” sofreu com o ataque, vindo de um outro usuário que aproveitou a falha descoberta pelo @migueltarga. Em seu twitter, Felipe Neto, comentou: “Lembrando: hacker não altera titulozinho nem invade conta de Youtube, isso se chama Lammer, ou “adolescente espinhento e virgem”“.
O que vocês acham das pessoas que aproveitam dos bugs descobertos por terceiros para ganhar fama? Ou eles fazem isso somente pelo conhecimento?
Achei ridÃculo somente uma coisa: pesoas reescrevendo por cima do que já haviamos feito.
(20:46) Recebi noticia que o bug foi corrigido.
Até que foi rápido. Levou uma hora aproximadamente, não? Agora que corrigiram, pode detalhar a respeito do Bug?
Deixa eu ver o exato momento que descobri… 13:36. O momento que pus em prática – 17:51
Demorei 4 horas para fazer o script pois estava fazendo coisas na minha vida pessoal. Quando tinha uma folga explorava. 3 horas funcionando o bug.
Em se tratando de um domingo, até que corrigiram rapidamente.
Somente ataquei por 30 minutos. Depois não tentei mais, mas o @saadzim_ disse que corrigiram. Acredito que sim.
Você falou que outras pessoas escreveram por cima do seu código. Você divulgou o código fonte abertamente?
Não. Como disse, era tão simples que encontraram. Nós da OrkutExploits estamos acostumados a explorar erros.
(Logo depois, ele envia o link com o código fonte do programa)
http://pastebin.com/G0SzRYFi
Caramba ein, Youtube? Não verificavam o cookie do usuário para alterar os dados?
Exato.
——-
Até agora (Domingo, 26/09/2010 as 21:55), nenhum comunicado foi feito pelo Blog do Youtube a respeito da falha. Os tÃtulos dos vÃdeos que voltaram ao normal foram todos alterados pelos seus usuários.
Editado: O Miguel Targa subiu um vÃdeo no Youtube explicando o que aconteceu.
Realmente mais uma falha amadora do GOOGLE, tem que contratar gente com o Miguel para trabalhar lá e não esses amadores valorizadores de currÃculos.
Pingback: Youtube got hacked « Youtube got hacked
Update: Youtube já alterou automaticamente os nomes dos vÃdeos do pessoal que sofreu com o ataque. 🙂
Caramba ein, Youtube?
Não, ainda não alterou alguns não viu.
http://www.youtube.com/watch?v=GllEDACUbNo