Badacz bezpieczeństwa znany jako Brutecat odkrył poważną lukę w YouTube, która mogła ujawnić adresy e-mail miliardów użytkowników platformy. Wykorzystując podatności w kilku usługach Google, badacz był w stanie pozyskać identyfikator GAIA dowolnego konta YouTube, a następnie przekształcić go w adres e-mail poprzez lukę w aplikacji Pixel Recorder.
Brutecat wykrył, iż system identyfikacji użytkowników, znany jako GAIA ID, był podatny na ataki. GAIA ID to unikalny identyfikator przypisany każdemu użytkownikowi w ekosystemie Google. Badacz znalazł sposób na jego pozyskanie dla kont YouTube, a następnie odkrył, że aplikacja Pixel Recorder pozwalała na konwersję tych identyfikatorów na rzeczywiste adresy e-mail.
To oznaczało, że osoba posiadająca odpowiednią wiedzę mogła w prosty sposób uzyskać adres e-mail dowolnego użytkownika YouTube, co otwierało drogę do masowych ataków phishingowych i innych form cyberprzestępczości.
Zagrożenie dla użytkowników
YouTube ma ponad 2,5 miliarda aktywnych użytkowników miesięcznie, co oznacza, iż potencjalnie wszystkie te konta mogły zostać narażone na wyciek. Cyberprzestępcy, którzy weszliby w posiadanie bazy takich e-maili, mogliby wykorzystywać je do wysyłania fałszywych wiadomości phishingowych, podszywania się pod Google lub YouTube, a nawet do prób przejęcia kont.
Tego rodzaju ataki mogły prowadzić do poważnych konsekwencji, w tym kradzieży tożsamości, wycieku poufnych informacji czy dostępu do innych usług powiązanych z kontem Google.
Google załatało lukę, ale nie od razu
Brutecat zgłosił lukę w ramach programu Google Bug Bounty, który wynagradza osoby znajdujące dziury w produktach giganta technologicznego. Google naprawiło problem, ale zajęło to trochę czasu.
Finalnie badacz otrzymał nagrodę w wysokości 10 633 dolarów za swoje odkrycie. Choć suma ta może wydawać się niewielka w porównaniu do skali zagrożenia, jest zgodna z polityką Google dotyczącą wynagrodzeń za zgłaszane luki.
Jak zabezpieczyć swoje konto?
Choć Google załatało już tę podatność, użytkownicy powinni zachować ostrożność. Aby chronić swoje konto, zaleca się:
- Włączenie uwierzytelniania dwuskładnikowego (2FA)
- Unikanie klikania w podejrzane linki w e-mailach i wiadomościach
- Regularne monitorowanie aktywności na koncie Google
- Korzystanie z silnych, unikalnych haseł
Pokaż / Dodaj komentarze do: Znalazł poważną lukę w Youtube, narażającą Cię na wyciek danych. Google mu za to zapłaciło