Google виправила баг, який розкривав електронні адреси користувачів YouTube

Фахівці Google виправили вразливість, яка могла розкрити адреси електронної пошти користувачів YouTube. Баг виявили дослідники безпеки Brutecat (brutecat.com) і Натан (schizo.org). Як пише Bleeping Computer, вони з’ясували, що API YouTube і Pixel Recorder можна використовувати для отримання ідентифікаторів користувачів Google Gaia з адресами електронної пошти.

Gaia ID – це унікальний внутрішній ідентифікатор, який Google використовує для керування обліковими записами в мережі сайтів. Оскільки користувачі реєструються для єдиного «облікового запису Google», який використовується на всіх сайтах Google, цей ідентифікатор є однаковим у Gmail, YouTube, Google Drive та інших службах Google.

Можливість розкриття електронних адрес власників каналів YouTube становить значний ризик для конфіденційності. 

Вразливість було виявлено після того, як BruteCat побачив, що функція «блокування» Google у всій мережі потребує обфускованого ідентифікатора Gaia та імені користувача. Просте натискання на меню з трьома крапками в чаті викликало фоновий запит до API YouTube, що дозволяло отримати доступ до ідентифікатора без необхідності блокування. Змінивши виклик API, дослідники отримали Gaia ID будь-якого каналу YouTube, включно з тими, які намагалися залишитися анонімними.

Дослідники повідомили про недолік Google 24 вересня 2024 року, і його остаточно виправили минулого тижня, 9 лютого 2025 року.

В Google спочатку відповіли, що вразливість є дублікатом раніше відстежуваної помилки, і заявили, що готові виплатити винагороду лише в розмірі $3133. Однак після демонстрації додаткового компонента Pixel Recorder вони збільшили винагороду до $10 633, посилаючись на високу ймовірність того, що цей баг становить небезпеку.