Η Google έβαλε ένα σημαντικό ελάττωμα ασφαλείας που θα μπορούσε να έχει εκτεθεί διευθύνσεις ηλεκτρονικού ταχυδρομείου στο YouTubers

Η Google έχει διορθώσει ένα ελάττωμα ασφαλείας που εκθέτει τις διευθύνσεις ηλεκτρονικού ταχυδρομείου των χρηστών του YouTube, μια πιθανώς μαζική παραβίαση της ιδιωτικής ζωής.

Η Google – η οποία κατέχει το YouTube – επιβεβαίωσε ότι τα τρωτά σημεία που ανακαλύφθηκαν από ερευνητές στον κυβερνοχώρο, οι οποίοι πηγαίνουν από τον Brutecat και τον Nathan, έχουν αντιμετωπιστεί, σύμφωνα με έκθεση στο Bleeptomcomputer.

Εκτός από την παραβίαση της ιδιωτικής ζωής που θα επηρέαζε όλους τους λογαριασμούς του YouTube, πολλοί YouTubers όπως αμφιλεγόμενοι δημιουργοί περιεχομένου, ερευνητές, καταγγέλλοντες και ακτιβιστές διατηρούν την ταυτότητά τους ανώνυμες για να προστατεύσουν την ασφάλειά τους. Η έκθεση των μηνυμάτων ηλεκτρονικού ταχυδρομείου αυτών των χρηστών θα μπορούσε να είχε τεράστιες συνέπειες.

Η Brutecat ανακάλυψε ότι η παρεμπόδιση ενός χρήστη στο YouTube αποκάλυψε ένα μοναδικό εσωτερικό αναγνωριστικό Google χρησιμοποιεί για κάθε χρήστη σε όλες τις πλατφόρμες του (Gmail, Google Drive κ.λπ.) που ονομάζεται ID GAIA. Στη συνέχεια, κατάλαβα ότι απλά κάνοντας κλικ στο εικονίδιο τριών κουκίδων του προφίλ ζωντανής συνομιλίας ενός χρήστη για να αποκτήσετε πρόσβαση στη λειτουργία μπλοκ ενεργοποίησε ένα αίτημα API που αποκάλυψε το αναγνωριστικό GAIA.

Αυτό από μόνο του είναι ήδη ένα ελάττωμα ασφαλείας, δεδομένου ότι εκθέτει τα μοναδικά αναγνωριστικά για τους λογαριασμούς του YouTube που προορίζονται μόνο να χρησιμοποιηθούν εσωτερικά. Αλλά τώρα που ο Brutecat μπόρεσε να ανακτήσει τα αναγνωριστικά Gaia των χρηστών, έβγαζαν να δουν αν μπορούσαν να αποκαλύψουν τις διευθύνσεις ηλεκτρονικού ταχυδρομείου που σχετίζονται με κάθε αναγνωριστικό.

Με τη βοήθεια του Nathan, οι δύο ερευνητές υποθέτουν ότι θα μπορούσαν να το κάνουν αυτό με “παλιά ξεχασμένα προϊόντα Google, καθώς πιθανότατα περιείχαν κάποιο σφάλμα ή λογικό ελάττωμα για να επιλύσουν ένα αναγνωριστικό Gaia σε ένα μήνυμα ηλεκτρονικού ταχυδρομείου”. Χρησιμοποιώντας την εφαρμογή καταγραφής της Google για συσκευές pixel, εξέτασαν την κοινή χρήση μιας εγγραφής με ένα abfuscated ID GAIA και εμπόδισε τον χρήστη να λάβει μια ειδοποίηση ηλεκτρονικού ταχυδρομείου μετονομάζοντας το αρχείο με ένα όνομα 2,5 εκατομμυρίων επιστολών, το οποίο έσπασε το σύστημα ειδοποίησης ηλεκτρονικού ταχυδρομείου επειδή ήταν πολύ καιρό.

Τώρα που το υποθετικό θύμα δεν θα ειδοποιηθεί, οι ερευνητές έστειλαν το αίτημα κοινής χρήσης αρχείων με τα αναγνωριστικά GAIA, μετατρέποντας αποτελεσματικά το αναγνωριστικό σε μια διεύθυνση ηλεκτρονικού ταχυδρομείου.

Χάρη στον Brutecat και το Sleuthing του Nathan, η Google μπόρεσε να κλειδώσει αυτή την ευπάθεια και να εμποδίσει τους χάκερ να έχουν πρόσβαση στη διεύθυνση ηλεκτρονικού ταχυδρομείου όλων που σχετίζονται με τους λογαριασμούς τους στο YouTube. Η ευπάθεια αποκαλύφθηκε στο Google στις 2024 και τελικά καθορίστηκε στις 9 Φεβρουαρίου 2025. Αυτό είναι πολύ καιρό για πιθανή έκθεση, αλλά η Google επιβεβαίωσε στον BleepingComputer ότι “δεν υπήρχαν ενδείξεις ότι οποιοσδήποτε εισβολέας εκμεταλλεύτηκε ενεργά τις ατέλειες”.

Σε αντάλλαγμα για τη δουλειά τους, οι ερευνητές έλαβαν δροσερό $ 10.633. Phew, η κρίση απέτρεψε.