A nagyobb tech cégek, mint a Facebook vagy a Google gyakran fizetnek a szakértőknek, akik sebezhetőséget találnak a szolgáltatásaikban. A Google januárban indította el a saját programját, a Vulnerability Research Grant Rulest, néhány száztól több ezer dollárig terjedő díjazást kínálva a szemfüles programozóknak. Több szem többet lát – így jobb eséllyel előzhetik meg, hogy hozzáférjenek a személyes adatokhoz.
Amit Hismatullin fedezett fel, az valószínűleg példa nélküli: egy logikai hiba miatt bármelyik videót törölhette volna a Youtube-ról.
Az esetről egy videót is készített; mint kiderült, csak néhány sort kellett módosítania a kódban, hogy bármilyen videót eltüntethessen.
Hismatullin a Youtube Video Creator kódjában turkálva fedezte fel a logikai hibát, amivel törölhette volna az összes videót a Youtube-ról. Ki is próbálta, hogy működik-e:
POST
https://www.youtube.com/live_events_edit_status_ajax?action_delete_live_event=1event_id: ANY_VIDEO_ID
session_token: YOUR_TOKEN
mire válaszként azt kapta, hogy { "success": 1 }, vagyis a művelet sikerült.
A Google 5000 dollár jutalmat fizetett a hekkernek. Nem tűnik soknak, de Hismatullin csak 6-7 órát matatott a kódban, mire felfedezte a hibát, és további négy órát vett igénybe, hogy legyőzze a kísértést, és törölje Justin Bieber videócsatornáját. Miután jelentette az esetet, a Google villámgyorsan felvette vele a kapcsolatot, és néhány órán belül kijavították a hibát.