YouTube, sajt za obavljivanje video sadržaja je bio prisiljen da obezbedi reÅ¡enje za slabu tačku koja je hakerima dozvoljavala da bombarduju korisnike lažnim pop-up porukama i redirektuje ih na Web sajtove za odrasle korisnike.
Hakeri su postavili kod u sekciji za komentare koji bi se pokretao svaki put kada bi korisnik gledao klip. U nekim slučajevima pop-up ekran se prikazivao u okviru kojeg se mogao pronaći podatak da je kanadski pevač, Justin Bieber, poginu o saobraćajnoj nesreći.
Google, koji je vlasnik YouTube-a, navodi da je problem popravljen dva sata nakon Å¡to je otkriven. Zvanični predstavnik kompanije potvrdio je da je uklonjena XSS slaba tačka koja je postojala na YouTube.com. Komentari su bili privremeno nevidljivi po podrazumevanom podeÅ¡avanju i to u toku čitavih sat vremena nakon čega je objavljena zakrpa za slabu tačku nakon dva sata.
XSS slabe tačke su relativno jednostavni napadi koji hakerima omogućavaju da postave kod u Web strane. U okviru YouTube incidenta, hakeri su koristili JavaScript kod i HTML, od kojih se oba standardno koriste u okviru Web strana.
Stručnjaci na polju sigurnosti navode da, iako je u većini slučajeva ovaj kod bezazlen on je koriÅ¡ćen u zlonamerne svrhe. Graham Cluley, stručnjak firme Sophos navodi da je stvar kod ovakve vrste napada u tome Å¡to se čini da je u pitanju poruka koja je objavljena na Web sajtu Å¡to joj daje određenu vrstu legitimnosti.
Na taj način se pruža mogućnost da se korisnicima prenese da je potrebno da izvrÅ¡e ažuriranje lozinke Å¡to dovodi do povezivanja sa Å¡tetnim Web sajtom ili može dovesti do phishing napada. Ovo je česta taktika koju koriste sajber kriminalci i obuhvata koriÅ¡ćenje lažnih Web sajtova da bi se namamili korisnici da otkriju detalje kao Å¡to su brojevi bankarskih računa ili podataka za prijavu.
Bojan Zdrnja, stručnjak Internet Storm centra navodi da su zabeleženi i komplikovani XSS napadi koji su iskoriÅ¡ćeni da se lažiraju čitave strane za prijavu a poznato je da veliki broj korisnika koristi iste lozinke na različitim računima.
Cluley joÅ¡ navodi da je odgovornost za ove vrste slabih tačaka bila svedena na to koliko sigurno je Web sajt načinjen, te da je neophodno da Web programeri budu pažljiviji kada su u pitanju kodovi. Zvanični predstavnik kompanije Google navodi da se nastavlja rad na istraživanju slabe tačke sa ciljem da se pomogne u sprečavanju sličnih problema u budućnosti.
Kada je ova slaba tačka prvi put prijavljena, pojavile su se i glasine da je YouTube inficiran virusom, Å¡to je kasnije demantovano od strane kompanije.
