Falha no YouTube permite que vídeos tenham seus títulos alterados [atualizado]

6
444

youtube-logo1.pngTodos se lembram do grande caos que dominou o Orkut ontem por conta de uma vulnerabilidade que possibilitou a um script se espalhar pela rede social como um vírus, simplesmente quando o usuário acessava seu perfil.

Hoje o serviço é outro, mas a empresa é a mesma: foi descoberta uma falha que permitiu a alteração dos títulos dos vídeos do YouTube por pessoas não-autorizadas. Abaixo, por exemplo, você pode ver um vídeo do canal do Justin Biber que foi atacado e teve seu título alterado.


Canais brasileiros como o do vlogueiro Felipe Neto, famoso pelos seus vídeos polêmicos, também foram atacados e tiveram todos os títulos de seus vídeos alterados. Segundo Felipe, ao notar as modificações nos títulos de seus vídeos, tratou de corrigi-los. Mas foi tudo em vão. Instantes depois, os títulos foram alterados novamente.

Segundo Diogok, um dos responsáveis pela quebra de segurança do Orkut na noite de sexta, a falha no YouTube foi descoberta pela comunidade Orkut Exploits, que se define como uma comunidade com intuito de discutir coisas relacionadas a programação e segurança na web.

No caso do YouTube, Diogok afirma que a falha foi descoberta por Miguel Targa e Saad M., também membros da comunidade. “Com a intenção de proporcionar uma edição mais rápida do vídeo, o YouTube adicionou a função de editar o título na página do vídeo mesmo, com isso, não veio um sistema de filtragem como na página principal de edição do vídeo já existente, o que possibilitou os vídeos serem editados com uma pequena mudança nos dados da requisição HTTP”, disse ele.

Ainda segundo ele, da mesma forma que ocorreu no Orkut, a mudança dos títulos tinha o único intuito de chamar a atenção do Google para a falha. Mas, assim que ela se tornou pública, usuários mal-intencionados começaram a explorá-la.

Apesar da extensão do ataque, poucos usuários o reportaram ao YouTube através dos fóruns em português e inglês, o que pode ter tornado um pouco mais lenta a solução da falha. Às 21h de hoje, já não era mais possível explorar a falha de segurança.

Atualização (Bônus) 23h04 – Nem mesmo o canal oficial do Google no YouTube se livrou da falha: vídeos na conta da empresa também tiveram seus títulos alterados e permanecem assim até agora.

Atualização 23h35 – Há menos de uma hora, Miguel Targa, responsável pela descoberta da vulnerabilidade do YouTube, publicou um vídeo no qual se inocenta da bagunça feita no serviço.

6 COMENTÁRIOS

  1. Cara tipo assim, a brincadeira de mal gosto já está começando a encher e prejudicar a gente!
    Querem chamar atenção da Google? Vão no escritório deles, e não nós prejudiquem poxa!

  2. "que se define como uma comunidade com intuito de discutir coisas relacionadas a programação e segurança na web."

    Dá vontade de mandar td mundo tomar naquele lugar. Quer ajudar a descobrir falhas? Não perturbe ninguém. Fça isso de uma forma que pessoas não sejam prejudicadas, pois se pessoas estão sendo prejudicadas, isso é coisa de gente que quer perturbar, e não ajudar.

    Enquanto continuarem dando plateia pra esses idiotas, eles continuarão fazendo isso e perturbando todo mundo.

    Eu não apoio esse tipo de "publicidade".

  3. Oi Ricardo tudo bem. Eu fui penalizada pelo Google sem ter feito nada. Simplesmente baixei um video e editei uma pequena propaganda do meu site, so que muitos conhecidos meus que editaram o mesmo video não receberam a mesma punição. Como funciona isso? Espero uma resposta. Jucara

Comente!