想象一下这个恐怖场景:您登录 YouTube,所有您喜爱的 Lolcats 视频都消失了。永远。众所周知,由于谷歌流媒体服务中的一个严重安全缺陷,这场灾难几乎发生了。在尝试查找 YouTube Creator Studio 中的漏洞时,俄罗斯黑客 Kamil Hismatullin 发现了某种类型的“http post”请求中的错误。在演示视频中,他展示了您只需插入视频 ID 和会话 ID(很容易恢复)即可立即删除它。
负责任的黑客卡米尔·希斯马图林显然没有删除视频,而是向谷歌发出了警报,谷歌立即对该服务进行了修复。该公司随后向该研究人员提供了 5,000 美元的奖励,这在其博客文章的评论中引起了小小的争议。事实上,有些人认为,与具有此缺陷的恶意人员可能造成的损失相比,这笔金额非常小。此外,卡米尔·希斯马图林 (Kamil Hismatullin) 承认,他希望得到更大的金额,而不是“15,000 至 20,000 美元之间”。 Facebook 则更为慷慨。 2 月份,黑客 Laxman Muthiyah 因发现漏洞而获得 12,500 美元奖金删除任何照片在社交网络中。一个月后,他又发现了 Facebook 移动应用程序中的一个缺陷,并将 10,000 美元收入囊中。
这个故事的寓意是:攻击 Facebook 比攻击 Google 更有利可图!
来源 :
博客笔记来自卡米尔·希斯马图利
