Vimeo uma bomba relógio para quem vende cursos on-line

Jonathan Trancozo
2 min readAug 20, 2018

--

"Recentemente" (faz uns 2 anos) descobri um bug em sites que vendem cursos on-line e usam o vimeo como plataforma para hospedagem de seus vídeos.

O vimeo é um ótimo site para quem trabalha com vídeos e prima pela qualidade e simplicidade do sistema. Mas a url dos videos tem um grande problema. Ela é sequencial.

Tá e dai, qual é o problema?

Problema algum se você só quer hospedar seu vídeo. Mas se você quiser que ninguém acesse, temos um grande problema.

'Shhhhhh, Houston we got a problem!'

Para o vídeo ser exibido na página e ter certa segurança tem uma opção para impedir que as pessoas acessem ele de fora.

E essa mesma opção junto com a url sequencial cria um grande problema.

Não entendeu?

Pela url ser sequencial você pode ir incrementando os números e ver os videos que vão aparecendo, e ocasionalmente vai encontrar o que era para ser privado.

Deixa eu mostrar para ficar mais claro.

Url sequencial do vimeo

Conforme você vai incrementando, muitos videos não vão funcionar por causa das permissões de segurança aplicada em cada um. Mas na página correta "Abra-te Sésamo".

Explorando a vulnerabilidade para encontrar vídeos no Alura.

Como se proteger disso?

Como desenvolvedor front-end, além de tentar encontrar uma brecha eu preciso encontrar uma solução.

Existem 3 formas que eu consegui pensar.

A primeira é bem obvia.

Não divulgue o link dos vídeos

Se alguém não sabe qual é o id do video não tem como procurar os outros.

Faça o upload dos vídeos com certo espaço de tempo entre eles

Como o vimeo recebe milhares de videos por dia e as urls são sequenciais, quando você demora entre um upload e outro, outros videos ficam entre os seus.

Use a API do vimeo para criar o video

Quando você usa a API em vez de fazer um embed você não mostra o id do video. Em vez disso o javascript monta o container do video em vez de criar um iframe e isso torna bem difícil descobrir o ID do video.

I'm not a bad person

Quando eu descobri esse problema eu pensei, 'Nooooom', não é possível que deixaram uma brecha desse tamanho, já já alguém vai consertar, mas não, está ai até hoje.

E sites como photostv, eduk, Alura e muitos outros que usam esse mesmo modelo de estrutura estão vulneráveis.

Eu fiz esse texto para elucidar o problema e espero que ele seja resolvido logo.

--

--

Jonathan Trancozo

Front-End Developer at B2W Digital, baker, photograher based in Recife