Bug no Youtube permitiu alteração dos títulos dos vídeos. Veja entrevista com o descobridor do bug

Bug no Youtube permitiu que script trocasse nome de qualquer vídeo hospedado no site. Em poucos minutos, 1280 vídeos (e crescendo) já haviam sido afetados pelo mesmo usuário.

Esse final de semana foi bem tenso para os responsáveis pela segurança dos produtos do Google. Depois do problema com XSS no Orkut, hoje mais uma vulnerabilidade de um de seus produtos foi descoberta e explorada. Através da falha, QUALQUER usuário conseguiu alterar por quase 4 horas qualquer título dos vídeos no site, independente se tivesse permissão ou não para isso.

Após ficar sabendo, entrei em contato com o @migueltarga, que junto com o @saadzim_, foram as primeiras pessoas a detectarem o problema e usar a vulnerabilidade para trocar os títulos. Segue abaixo a entrevista, feita enquanto a vulnerabilidade estava no ar.

Jonny Ken: Segundo o RodLac, vc que descobriu a falha do youtube!
@migueltarga: exato,  eu descobri sim.

Você descobriu o bug do Youtube e falou que foi uma falha primária. Foi realmente tão primária assim? Qual foi o erro?
Sim, foi somente repetir uma requisição comum, alterando o id do filme

Reparei que os títulos tem um padrão no nome. Você pode escolher o que quer colocar ou fica sempre dentro desse padrão “Fulano  e Beltrano amaram seu vídeo”?
Exatamente, pode editar como se o vídeo fosse seu.

Você falou como faz isso? Sabe se já tem mais gente explorando?
Foi um erro tão de principiante que o Google cometeu, que após muitos olharem, já acharam o erro.
(abaixo tem um link com o código fonte usado para explorar a falha)

Só é possível alterar o nome ou é possível fazer um XSS (Cross-site scripting) para roubar cookies?
Somente explorei esta parte. Escutei que existia uma falha para “tomar posse” do vídeo de algum autor, e acabei achando esse. Onde achei não é possível explorar XSS.

Então NESSA falha os usuários não correm risco de perder suas contas. Essa falha que você citou é antiga? O google foi avisado?
Não tenho ideia de quanto tempo existe a falha. Não sou usuário nem mesmo fã de youtube, somente escuto algumas musicas às vezes. Só fui curioso por procurar falhas. Não avisei o google, eles nunca me escutam.

Ontem falei com o RodLac e com o Diogok a respeito disso. Pelo jeito o Google não dá muito ouvidos…
Sim, o suporte não é muito bom.

É comum isso em toda empresa? Tem casos que você conheça de empresas que trataram bem os descobridores de bugs?
Desconheço. Há algumas semanas me deletaram do orkut por descobrir uma falha deles.

Pessoal do Galo Frito, vencedores do VMB como melhor WebHit, tiveram os títulos de seus vídeos alterados.

Você disse que para usar a falha é só ir trocando o ID e mandar ver. Pelo jeito, depois você criou algum robozinho que faz isso. Sabe quantas páginas você já alterou o nome?
Sei! Tenho uma lista que meu amigo Saad fez. Teve alguns que nós pulamos, mas foram quase todos.

http://www.youtube.com/user/JustinBieberVEVO
http://www.youtube.com/user/BritneyTVSME
http://www.youtube.com/user/TaylorSwiftVEVO
http://www.youtube.com/user/EminemVEVO
http://www.youtube.com/user/AkonVEVO
http://www.youtube.com/user/RihannaVEVO
http://www.youtube.com/user/LadyGagaVEVO
http://www.youtube.com/user/bandarestart
http://www.youtube.com/user/felipeneto
http://www.youtube.com/user/maspoxavida
http://www.youtube.com/user/descealetra
http://www.youtube.com/user/gzaiden
http://www.youtube.com/user/jessicah25
http://www.youtube.com/user/luansantanaoficial
http://www.youtube.com/user/cineVEVO
http://www.youtube.com/user/programagalofrito
http://www.youtube.com/user/ShaneDawsonTV2
http://www.youtube.com/user/ShaneDawsonTV
http://www.youtube.com/user/realannoyingorange
http://www.youtube.com/user/Anon1modaTP
http://www.youtube.com/user/shane
http://www.youtube.com/user/nigahiga
http://www.youtube.com/user/Fred
http://www.youtube.com/user/malhacao
http://www.youtube.com/user/band
http://www.youtube.com/user/break
http://www.youtube.com/user/rederecord
http://www.youtube.com/user/blink182VEVO
http://www.youtube.com/user/AmyWinehouseVEVO
http://www.youtube.com/user/bbcworldwide
http://www.youtube.com/user/discoverynetworks
http://www.youtube.com/user/oasisinetofficial
http://www.youtube.com/user/twitter
http://www.youtube.com/user/warnerbrosrecords
http://www.youtube.com/user/warnerbrosonline
http://www.youtube.com/user/espn
http://www.youtube.com/user/emimusic
http://www.youtube.com/user/skankvideos
http://www.youtube.com/user/naosalvo
http://www.youtube.com/user/RayWilliamJohnson
http://www.youtube.com/user/failblog
http://www.youtube.com/user/videosimprovaveis
http://www.youtube.com/user/jonlajoie
http://www.youtube.com/user/vevo
http://www.youtube.com/user/jonlajoie
http://www.youtube.com/user/vevo
http://www.youtube.com/user/moymoypalaboy
http://www.youtube.com/user/keeptheheat
http://www.youtube.com/user/rafinhabastos
http://www.youtube.com/user/BlackEyedPeasVEVO
http://www.youtube.com/user/SouljaBoy
http://www.youtube.com/user/beyonce
http://www.youtube.com/user/UniversalMusicFrance
http://www.youtube.com/user/madonna
http://www.youtube.com/user/universalmusicgroup
http://www.youtube.com/user/michaeljackson
http://www.youtube.com/user/pepsi
http://www.youtube.com/user/cocacola
http://www.youtube.com/user/ferrariworld
http://www.youtube.com/user/bmw
http://www.youtube.com/user/hollywoodrecords
http://www.youtube.com/user/MileyCyrusVEVO
http://www.youtube.com/user/windowsvideos
http://www.youtube.com/user/nasatelevision
http://www.youtube.com/user/daneboe
http://www.youtube.com/user/chelseafc
http://www.youtube.com/user/skolweb
http://www.youtube.com/user/skoltv
http://www.youtube.com/user/fcbarcelona
http://www.youtube.com/user/AerosmithVEVO
http://www.youtube.com/user/linkinparktv
http://www.youtube.com/user/rammsteintheband
http://www.youtube.com/user/playboy
http://www.youtube.com/user/palpitabrasil
http://www.youtube.com/user/google
http://www.youtube.com/user/GleeOnFox
http://www.youtube.com/user/barackobama
http://www.youtube.com/user/justintimberlaketv
http://www.youtube.com/user/NellyFurtadoVEVO
http://www.youtube.com/user/JamesMorrisonVEVO
http://www.youtube.com/user/ArquivoCH
http://www.youtube.com/user/kellyclarkson
http://www.youtube.com/user/acdc
http://www.youtube.com/user/nikefutebol
http://www.youtube.com/user/CSPAN
http://www.youtube.com/user/TimothyDeLaGhetto2

Ufa! Não tem o meu! Já sabe se mais alguém está usando o bug agora?
Sim, MUITA GENTE está usando ele. Vou liberar o código fonte assim que o bug acabar.

É um filho que fugiu do controle?
Criamos um monstro

Sabe que esse bug pode causar um problema gigantesco, não? Como a busca do google dá grande importância para o título do vídeo, pode ser que a visitação dos vídeos despenquem absurdamente. Não tem medo que pelo fato de causar um prejuízo financeiro, o Google caia em vocês judicialmente, principalmente morando em um país onde as leis funcionam? (Ele mora nos EUA)
Sim. Medo, claro, muito! A falha não foi minha, eles tem que entender isso.

Espero que eles tenham backup!
Verdade, porque eu fiz e parei. Várias pessoas continuam ai brincando… Será que eu tenho que ser culpado por tudo isso?

Posso mandar um beijo pro @saadzim_? Ele foi quem estava ao meu lado e recolheu a lista. O credito não é somente meu, se isso pode ser chamado crédito.

Você falou que não dá para roubar cookies. Além do título, é possível mudar outros dados, como descrição, tags, etc?
Desconheço.

Pergunte para o @saadzim_ se a lista de vídeos que ele escolheu foi meramente ao acaso (levando em consideração os números de visitantes) ou teve algum outro motivo?
Segundo ele, foi os que viu na frente e canais de tv.

Até o Vlogger Felipe Neto do “Não faz sentido” sofreu com o ataque, vindo de um outro usuário que aproveitou a falha descoberta pelo @migueltarga. Em seu twitter, Felipe Neto, comentou: “Lembrando: hacker não altera titulozinho nem invade conta de Youtube, isso se chama Lammer, ou “adolescente espinhento e virgem”“.

O que vocês acham das pessoas que aproveitam dos bugs descobertos por terceiros para ganhar fama? Ou eles fazem isso somente pelo conhecimento?
Achei ridículo somente uma coisa: pesoas reescrevendo por cima do que já haviamos feito.

(20:46) Recebi noticia que o bug foi corrigido.

Até que foi rápido. Levou uma hora aproximadamente, não? Agora que corrigiram, pode detalhar a respeito do Bug?
Deixa eu ver o exato momento que descobri… 13:36. O momento que pus em prática – 17:51

Demorei 4 horas para fazer o script pois estava fazendo coisas na minha vida pessoal. Quando tinha uma folga explorava. 3 horas funcionando o bug.

Em se tratando de um domingo, até que corrigiram rapidamente.
Somente ataquei por 30 minutos. Depois não tentei mais, mas o @saadzim_ disse que corrigiram. Acredito que sim.

Você falou que outras pessoas escreveram por cima do seu código. Você divulgou o código fonte abertamente?
Não. Como disse, era tão simples que encontraram. Nós da OrkutExploits estamos acostumados a explorar erros.

(Logo depois, ele envia o link com o código fonte do programa)
http://pastebin.com/G0SzRYFi

Caramba ein, Youtube? Não verificavam o cookie do usuário para alterar os dados?
Exato.

——-

Até agora (Domingo, 26/09/2010 as 21:55), nenhum comunicado foi feito pelo Blog do Youtube a respeito da falha. Os títulos dos vídeos que voltaram ao normal foram todos alterados pelos seus usuários.

Editado: O Miguel Targa subiu um vídeo no Youtube explicando o que aconteceu.