Użytkownicy YouTube’a oglądający na tym portalu w niedzielę 4 lipca jeden z klipów nastoletniego piosenkarza Justina Biebera odbierali dziwne wiadomości. Wyskakujące komunikaty informowały o śmierci wykonawcy. Część internautów była natomiast przekierowywana na strony z pornografią. Na szczęście administratorzy YouTube’a jeszcze tego samego dnia zneutralizowali to zagrożenie i teledysk można było oglądać bez żadnych zakłóceń.
Analizujący tę sytuację pracownicy firmy Kaspersky Lab wyjaśniają, że serwis padł ofiarą klasycznego ataku XSS – cross-site scripting. Zagrożenie tego typu polega na umieszczeniu w kodzie strony internetowej szkodliwego skryptu, który następnie jest przetwarzany przez przeglądarkę użytkownika tak, jak pełnoprawny element tej witryny. W przypadku YouTube’a niezabezpieczony okazał się mechanizm dodawania komentarzy, przez co odpowiednio spreparowany tekst pozwalał na wprowadzenie dowolnego kodu HTML, który następnie był prawidłowo interpretowany przez przeglądarkę. Co za tym idzie, cyberprzestępcy mogli przez zamieszczenie odpowiednich skryptów wyświetlać innym użytkownikom określone komunikaty lub przekierowywać ich na wybrane strony.
