Ismeretlen személyek a hétvégén több YouTube-videóhoz is olyan bejegyzéseket írtak, amelyekben a HTML-kódokat a látogatók böngészői futatták le. Az esemény rámutatott a népszerű videomegosztó sebezhetőségére.

Hirdetés

Az esetekről több amerikai portál, többek között a The Next Web és a Slashdot is beszámolt. Az akciók célpontjai elsősorban Justin Bieber tiniénekes videói voltak. Az elkövetők az úgynevezett Cross-Site Scripting eljárást használták. A manipulált bejegyzésekre kattintva a látogatók sértő mondatokkal szembesültek, majd pornóoldalakra lettek átvezetve. Az még kérdéses, hogy vajon ezek a honlapok fertőzöttek voltak-e kártevőkkel, illetve hogy a felhasználók számítógépeit érte-e támadás.

Ugyan a YouTube a Google tulajdonában van, ám az elkövetők nem férhettek hozzá a Google szolgáltatásokhoz és azokat használók jelszavaihoz, adataihoz. Egyes videóknál ugyanakkor - a biztonsági hiba befoltozásáig - elővigyázatosságból kikapcsolták a bejegyzés-funkciót. Tisztázatlan, hogy a biztonsági rés mióta létezett, a Google mindenesetre az esetek kivizsgálását ígérte, hogy ilyesmi a jövőben soha többé ne fordulhasson elő.

A honlapok üzemeltetői általában különböző módszerekkel igyekeznek megakadályozni, hogy a látogatók a saját aktív tartalmaikat, például JavaScripteket elhelyezhessenek az adott portálon található profilokban, bejegyzésekben és más anyagokban. A mostani támadás rávilágított arra, hogy a YouTube biztonsági szűrője mégis kijátszható volt és az elkövetők akár kártevőket is elhelyezhettek volna a HTML-kódokban.

A Google szóvivője a Networkworld nevű online lapnak kijelentette, hogy a biztonsági hibát egy órával az első akció után fedezték fel és két órával később sikerült is befoltozni. A Cross-Site Scripting problémája egyébként nem csak a YouTube-ot érinti, ilyen biztonsági hibák rendszeresen megjelennek a szerver- és a kliensszoftverekben.