Kamil Hismatullin, un experto en seguridad informática de nacionalidad rusa, descubrió una vulnerabilidad muy sencilla que le permitía borrar cualquier video de YouTube.

El descubrimiento se dio inesperadamente mientras buscaba fallas de XSS y CSRF (del inglés Cross-Site Scripting y Cross-Site Request Forgery respectivamente) en YouTube Creator Studio. Entonces sólo fue necesario enviar un pedido HTTP:

POST https://www.youtube.com/live_events_edit_status_ajax?action_delete_live_event=1
event_id: ANY_VIDEO_ID
session_token: YOUR_TOKEN

Y el video ya no estaba.

Así fue como lo hizo:

En son de broma, Hismatullin comentó sobre lo difícil que le fue resistirse a la tentación de borrar el canal de Justin Bieber. Aún así Hismatullin reportó su descubrimiento a Google, que reparó el problema de inmediato y lo recompensó con $5000, más $1337 extras de su programa para fomentar la búsqueda de vulnerabilidades en software.

Un error similar fue descubierto en Facebook hace más de un mes.