פירצה במנוע התגובות של יוטיוב [עדכון]
מאת אילנה ברודו 4 ביולי 2010. 2 תגובות. שייך לקטגוריות אבטחת מידע, אינטרנט
פירצה שהתגלתה במנוע התגובות של יוטיוב והופצה ברשת מילאה את עמודי הקליפים הפופולאריים בעמודי פרסומות ופורנוגרפיה. בגוגל ממהרים להסתיר ולהסיר את התגובות, אך על פי הדיווחים טרם תוקנה הפירצה
על פי דיווח באתר Slashdot, מוקדם יותר היום הופצו בפורומים שונים באינטרנט הוראות להחדרת קוד HTML למנוע התגובות באתר שיתוף הווידאו הפופולארי YouTube. אלפי קליפים בעלי צפיות רבות החלו להציג בתגובות אתרים פורנוגרפיים, אתרי הימורים ופרסומות למכביר. בעת כתיבת <script> בתחילת התגובה, ניתן בעצם להכניס בתוכה העברות אוטומטיות, חלונות קופצים (pop-up) וכל טאג HTML בו חשקה נפשכם.
נכון לזמן כתיבת שורות אלו, ביוטיוב טרם טיפלו בתקלה, אבל העבירו את התגובות למצב חבוי לפי ברירת מחדל וכן החלו בהסרתן של הפרסומים הבעייתיים. בפורום התמיכה של גוגל עבור אתר YouTube משתמשים רבים התלוננו על תכנים לא הולמים שהופיעו לפתע ברשימת התגובות בקליפים שלהם.
בין היתר, האשימו הגולשים את שוכני מערכת הפורומים (או לוח התמונות, אם תרצו) 4chan הידוע לשמצה כאחראי למתקפות מקוונות רבות ואלו מנגד האשימו את שוכני הפורומים "עולמו של איבאום" (Ebaum's World). טרם התברר מי אחראי להפצת הפירצה ואופן השימוש בה וכן טרם נמסרה הודעה רשמית מגוגל, בעלת אתר יוטיוב.
בעת תכנון אתר או יישום מקוון ניתן להימנע בקלות יחסית מפגיעויות מסוג זה על ידי בדיקת הקלט בתגובות, איתור והסרה של טאגי HTML ואף תוכן לא הולם. נראה שביוטיוב טרם השכילו לבדוק את תוכן התגובות לזיהוי של ניסיונות פריצה.
עדכון 05/07/10 08:00: על פי הפרסום באתר The Next Web, הנפגע העיקרי מהפריצות היה דווקא הזמר ג'סטין ביבר הצעיר נגדו מנהלים חברים הקהילה האנונימית באתר 4chan מעין מלחמה מקוונת. בנוסף, בהודעה שהעבירה גוגל לאתר נכתב: "נקטנו בפעולה מהירה לתיקון פרצת ה-cross site scripting באתר יוטיוב שהתגלתה לפני מספר שעות. תוך כשעה, הועברו התגובות לסרטונים למצב חבוי ותיקון הופץ כשעתיים לאחר מכן. אנו ממשיכים לחקור את הפירצה במטרה למנוע מצבים דומים בעתיד."
אילנה ברודו
אשת המילה הכתובה וחובבת טכנולוגיה. גרפומנית, גיקית, גיימרית, בשלנית, ואפילו משוררת לעת מצוא. בימים עיתונאית רשת נעימת הליכות ובלילות לוחמת צדק דיגיטלי חסרת רחמים ובעלת לשון מושחזת היטב. לשעבר כתבת טכנולוגיה ב-ynet ו-walla!.
פוסטים נוספים של אילנה ברודו
![אילן שילוח וקבוצת The-Time משקיעים בניוזגיק [גיוס]](http://www.newsgeek.co.il/wp-content/cache/56x45/2012/04/newsgeek-thetime.jpg){kind=small}
![כיצד תרבות הסמארטפון הרסה את התרבות [דעה]](http://www.newsgeek.co.il/wp-content/cache/56x45/2012/05/4307875855_a7f604af83_o-300x225.jpg){kind=small}
יום לפני התחלתי לעבוד בבלוג שלי על פוסט שעוסק בXSSים.