Хисматуллин обнаружил в движке популярного видеохостинга YouTube ошибку, которая позволяет удалить абсолютно любой загруженный на сайт ролик. Как пошутил сам программист в своем блоге, он с трудом удержался, чтобы не удалить канал канадского певца Джастина Бибера, и все же сообщил об уязвимости в компанию Google, владеющую видео-сервисом.
Исследовать слабости YouTube Камиль начал благодаря участию в программе грантов от Google – Vulnerability Research Grants, по условиям которой участнику выплачивается небольшой авансовый грант, в случае казанского программиста он составил 1337 долларов, за то, что тот проверит продукты компании на возможные ошибки.
Изучив приложение YouTube, программист обнаружил, что с его помощью можно удалить любое видео, используя уникальный код только собственной сессии интернет-подключения. В качестве доказательства он выложил видео, в котором продемонстрировал удаление своего ролика вообще без логина на сайт YouTube.
По словам Камиля, уже через два часа работы с приложением YouTube Creator Studio у него были готовы два отчета для компании. Общее же время, затраченное на исследование, составило шесть-семь часов. В итоге Google крайне оперативно среагировала на обращение программиста. Уязвимость исправили, выплатив Камилю еще пять тысяч долларов.
