Onderzoeker kan alle video’s van YouTube verwijderen
YouTube blijkt een flink beveiligingslek te hebben bevat. Een onderzoeker bleek in staat alle video’s van de videowebsite te verwijderen door simpelweg een paar regels code aan te passen.
Het probleem is ontdekt door beveiligingsonderzoeker Kamil Hismatullin, die zijn bevindingen in een blogpost beschrijft. Hismatullin deed onderzoek naar YouTube Creator Studio, het deel van YouTube waar gebruikers eigen video’s kunnen beheren.
Code aanpassen
Door hier enkele regels code aan te passen lukte het de onderzoeker video’s van anderen te verwijderen, zonder dat hij hiervoor de juiste rechten had. Hiervoor had de onderzoeker alleen de openbare identiteitscode van de video nodig (die uit de URL kan worden gehaald) en een sessietoken die te vinden is in de broncode van YouTube.
De onderzoeker stelt slechts zes of zeven uur in het onderzoek te hebben gestoken. Het probleem is inmiddels door Google verholpen. Hismatullin ontvangt een beloning van 5.000 dollar voor het opsporen van de bug. Als onderdeel van het Vulnerability Research Grants-programma ontvangt de onderzoeker een extra 1.337 dollar.
Meer over
Lees ook
Computersysteem Kadaster blijkt ernstig lek
Het computersysteem van het Kadaster bevat ernstige beveiligingsgaten. Het Kadaster vreest hierdoor voor foutieve informatie in registraties van onroerendgoedbezit, hypotheken en beslagen. Dit meldt het Financieel Dagblad op basis van interne stukken van het Kadaster. "Het risico bestaat dat Kadasterdiensten onveilig zijn voor klanten of informat1
ENISA publiceert richtlijnen voor veilige mobiele apps
Het European Agency for Network and Information Security (ENISA) publiceert een vernieuwde versie van de Smartphone Development Guidelines. In het document wordt uiteengezet hoe ontwikkelaars mobiele applicaties veiliger kunnen maken en kunnen beschermen tegen cyberaanvallen. In het vernieuwde rapport zijn nieuwe secties toegevoegd over recente o1
Schneider Electric verhelpt ernstig beveiligingsprobleem in DCIM-oplossing
Schneider Electric stelt een update beschikbaar die een ernstig beveiligingsprobleem verhelpt in de StruxureWare Data Center Expert software. Door het lek konden aanvallers op afstand gevoelige informatie inzien en toegang krijgen tot onversleutelde wachtwoorden. Het beveiligingslek is ontdekt door Positive Technologies. Aanvallers kunnen het lek1