Cybersecurity -Forscher entdeckten einen beängstigenden Sicherheitsfehler mit YouTube und Google

Google hat einen Sicherheitsfehler festgelegt, der die E -Mail -Adressen aufgedeckt hat YouTube Benutzer, eine potenziell massive Verletzung der Privatsphäre.

Google – wem gehört YouTube – hat bestätigt, dass die von Cyber ​​-Sicherheitsforschern entdeckten Schwachstellen, die vorbeikommen Grossekat Und Nathanwurden laut einem Bericht in angegangen Piepiercomputer.

Abgesehen von der Verletzung der Privatsphäre, die alle YouTube -Konten beeinflusst hätten, halten viele YouTubers wie kontroverse Hersteller von Inhalten, Forscher, Whistleblower und Aktivisten ihre Identität anonym, um ihre Sicherheit zu schützen. Die Enthüllung der E -Mails solcher Benutzer hätte enorme Folgen haben können.

Grutecat stellte fest, dass das Blockieren eines Benutzers auf YouTube eine eindeutige interne Kennung enthüllte, die Google für jeden Benutzer auf allen Plattformen (Google Mail, Google Drive usw.) als Gaia -ID verwendet. Anschließend stellten sie fest, dass es einfach auf das drei -Punkte -Symbol des Live -Chat -Profils eines Benutzers geklickt hat, um Zugriff auf die Blockfunktion zu erhalten, eine API -Anforderung, die ihre Gaia -ID enthüllt hat.

Dies ist an sich ein Sicherheitsfehler, da es die eindeutigen Identifikationsdaten für YouTube -Konten aufgedeckt hat, die nur intern verwendet werden sollen. Aber jetzt, da Grutecat die Gaia -IDs von Benutzern abholen konnte, wollten sie sehen, ob sie die E -Eil -Adressen enthüllen konnten, die mit jeder ID verbunden wurden.

Mit Nathans Hilfe vermuteten die beiden Forscher, dass sie dies mit „alten vergessenen Google -Produkten tun könnten, da sie wahrscheinlich einen Fehler oder einen logischen Fehler enthalten, um eine Gaia -ID für eine E -Mail zu beheben“. Mit Hilfe des Recorder -App von Google für Pixel -Geräte testeten sie eine Aufzeichnung mit einer verdeckten Gaia -ID und blockierten den Benutzer, um eine E -Mail -Benachrichtigung zu erhalten, indem sie die Datei mit einem Namen von 2,5 Millionen Buchstaben umbenannt haben, das kaputt ging Das E -Mail -Berichtssystem, weil es zu lang war.

Nachdem das hypothetische Opfer nicht informiert würde, sendeten die Forscher die Anfrage, Dateien an den GAIA -IDs zu teilen, und die ID wurde effektiv in eine E -Mail -Adresse umgewandelt.

Dank der Detektivarbeit von Grutecat und Nathan konnte Google diese Sicherheitsanfälligkeit schließen und Hacker daran hindern, Zugriff auf die E -Mail -Adresse aller zu haben, die mit ihren YouTube -Konten verbunden ist. Die Verwundbarkeit wurde im September 2024 an Google angekündigt und schließlich am 9. Februar 2025 ermittelt. Das ist eine lange Zeit für eine mögliche Belichtung, aber Google bestätigte einem piependen Computer, dass es „keine Anzeichen dafür gab, dass ein Angreifer die Fehler aktiv ausnutzte“.

Im Gegenzug für ihre Arbeit erhielten die Forscher coole 10.633 US -Dollar. Puh, Krise abgewendet.