Diamentowy przycisk YouTube
Youtuberzy mogą dysponować linkiem do ponownego zamówienia swojego przycisku. Google w taki sposób daje furtkę na wyjście z niezręcznej sytuacji, kiedy twórca w jakiś sposób zostanie pozbawiony swojej nagrody, nawet przez zwykłe zniszczenie czy zagubienie. Nie jest to tak tania atrakcja (tak, zapasowe nagrody są w pełni płatne), ale możliwa do otrzymania. Ale chyba nikt się nie spodziewał, że YouTuberzy znajdą błąd w systemie zamawiania i go wykorzystają.
Luka w zabezpieczeniach YouTube
Wystarczyła prosta zabawa z formularzem i adresem URL. Widać ewidentny brak odpowiedniej weryfikacji na stronie zamawiania przycisków. Można podszyć się pod innego twórcę, zmienić dane do wysyłki, a przede wszystkim wpisać w linku diamentową opcję zamiast srebrnej czy złotej. Po opłaceniu zamówienia oraz odczekaniu odpowiedniego czasu na przygotowanie i dostarczenie przesyłek, Jack i Josh otrzymali swoje nagrody (w zasadzie jedną, ale o tym później), które przecież im się nie należały.
Całość opublikowali na swoich kanałach YouTube, na których też pochwalili się łupem. Na szczęście błąd został już naprawiony i więcej nie można skorzystać z tego niedopatrzenia programistów. Podobno youtuberzy już wcześniej poinformowali o nim firmę, ale boczną furtkę zamknięto dopiero po realizacji zamówienia.
Żeby nie było tak pięknie, będą musieli podzielić się nagrodą. Linkiem Josha posłużył się Jack i to na jego adres wysłano diamentowy przycisk. Każdy twórca w odpowiednim momencie otrzymuje swój prywatny link, więc błąd nawet jak jeszcze działał, nie był możliwy do użycia przez każdego anonimowego internautę.
Źródło i foto: Josh Kapranos @ YouTube