Kamil Hismatullin ha avuto nelle sue mani un potere che molti vorrebbero ardentemente, vale a dire quello di cancellare tutti i video di YouTube. O avrebbe anche potuto eliminarne solo alcuni a sua scelta. Non è magia, ma il risultato del suo lavoro.
Hismatullin infatti è un ricercatore di sicurezza che ha trovato per caso un bug nel famoso sito di video, più precisamente in YouTube Creator Studio. Stava verificando l'esistenza di eventuali problemi CSRF (cross-site request forgery) o XSS (cross-site scripting), quando ha scoperto che inviando il codice univoco di un video in una richiesta insieme a un token qualsiasi si apriva una possibilità senza precedenti.
"Il bug", scrive Lisa Vass sul blog di Sophos, "è molto simile a uno scoperto in Facebook lo scorso febbraio […]. Entrambe le vulnerabilità erano problemi nel controllo dell'accesso ed entrambe sono emerse nelle API (Application Programming Interface) fornite dai siti.
Tecnicismi a parte, sono certo che, come me, molti lettori sarebbero stati fortemente tentati di approfittarne, anche perché data la situazione c'erano buone possibilità per Hismatullin di non essere mai identificato. Anche lui per un po' ha pensato di levarsi uno sfizio, ma alla fine ha resistito.
"In generale", ha scritto, "ho passato sei o sette ore al lavoro, considerando quel paio d'ore in cui ho lottato contro la tentazione di ripulire il canale di Justin Bieber". E non posso negare che almeno un po' gliene sarei stato grato.
Hismatullin invece ha scelto la via della rettitudine e comunicato il problema a Google, i cui tecnici si sono messi al lavoro immediatamente, "visto che questa vulnerabilità avrebbe creato una terribile devastazione nel giro di qualche minuto nelle mani sbagliate".
I tecnici di Google hanno risolto il problema "in diverse ore", conclude Hismatullin, e non ci sorprende che questo ricercatore abbia ricevuto da Google 5.000 dollari, la cifra massima prevista in questi casi. Personalmente credo che gliene debbano almeno venti volte tanto.