“Aucune vidéo de Bieber n’a été blessée”
Pour expliquer comment il en est arrivé là, il nous explique tout :
“Sur YouTube Creator Studio j’ai cherché comment live_events/broadcasting marche. Je voulais trouver des problèmes de CSRF (Cross-Site Request Forgery, contrefaçon de requêtes trans-sites) ou de XSS (cross-site scripting)“, explique-t-il. C’est donc de façon inattendue qu’il a découvert qu’il pouvait “effacer n’importe quelle video sur YouTube avec cette requête :
Publicité
POST https://www.youtube.com/live_events_edit_status_ajax?action_delete_live_event=1
event_id: ANY_VIDEO_ID
session_token: YOUR_TOKEN
Publicité
La réponse :
{
"success": 1
}
Publicité
Et la vidéo à été supprimée !” Conclut-il.
Pour comprendre plus facilement, il a aussi fait une vidéo :
Toujours sur son site internet, il explique : “En tout, j’ai passé six ou sept heures à chercher, en comptant les deux heures ou j’ai résisté pour ne pas nettoyer la chaîne de Justin Bieber haha. ” Il a fini par prévenir Google qui a répondu en quelques minutes et corrigé l’erreur. Selon lui : “entre de mauvaises mains [quelqu’un] aurait pu exploiter cette vulnérabilité pour extorquer de l’argent ou simplement perturber YouTube en supprimant de grandes quantités de vidéos en peu de temps.”
Nous avons donc évité de justesse un drame planétaire, et “aucune vidéo de Justin Bieber n’a été blessée“.