Google ha solucionado una falla de seguridad que expuso las direcciones de correo electrónico de los usuarios de YouTube, una violación de privacidad potencialmente masiva.
Google, propietario de YouTube, ha confirmado que las vulnerabilidades descubiertas por los investigadores de ciberseguridad, que van por BruteCat y Nathan, se han abordado, según un informe en BleepingComuter.
Además de la violación de la privacidad que habría afectado a todas las cuentas de YouTube, muchos YouTubers, como creadores de contenido controvertidos, investigadores, denunciantes y activistas, mantienen sus identidades anónimas para proteger su seguridad. Exponer los correos electrónicos de tales usuarios podría haber tenido enormes ramificaciones.
Según los informes, Google está desarrollando una función de correo electrónico 'falsa' para ayudarlo a evitar el spam
BruteCat descubrió que el bloqueo de un usuario en YouTube reveló un identificador interno único que Google usa para cada usuario en todas sus plataformas (Gmail, Google Drive, etc.) llamada ID de Gaia. Luego descubrieron que simplemente hacer clic en el icono de tres puntos del perfil de chat en vivo de un usuario para acceder a la función de bloque activó una solicitud de API que reveló su ID de Gaia.
Velocidad de luz mashable
Esto en sí mismo ya es un defecto de seguridad, ya que expuso los identificadores únicos para las cuentas de YouTube que solo están destinadas a usarse internamente. Pero ahora que BruteCat pudo recuperar las ID de Gaia de los usuarios, se propusieron ver si podían revelar las direcciones de correo electrónico asociadas con cada ID.
Con la ayuda de Nathan, los dos investigadores supusieron que podían hacer esto con "los viejos productos de Google olvidados, ya que probablemente contenían algunos errores o defectos lógicos para resolver una ID de Gaia a un correo electrónico". Utilizando la aplicación de registrador de Google para dispositivos Pixel, probaron compartir una grabación con una ID de Gaia ofuscada y bloquearon al usuario para recibir una notificación por correo electrónico cambiando el nombre del archivo con un nombre de 2.5 millones de letras, que rompió el sistema de notificación de correo electrónico porque era demasiado largo.
Ahora que la víctima hipotética no sería notificada, los investigadores enviaron la solicitud de intercambio de archivos con los ID de Gaia, convirtiendo efectivamente la ID en una dirección de correo electrónico.
Gracias a la investigación de BruteCat y Nathan, Google pudo bloquear esa vulnerabilidad y evitar que los piratas informáticos accedieran a la dirección de correo electrónico de todos asociada con sus cuentas de YouTube. La vulnerabilidad se divulgó a Google en septiembre de 2024 y finalmente se fijó el 9 de febrero de 2025. Ese es mucho tiempo para la exposición potencial, pero Google confirmó a BleepingComuter que "no había signos de que ningún atacante explotara activamente los defectos".
A cambio de su trabajo, los investigadores recibieron $ 10,633. Uf, crisis evitada.
Temas
Ciberseguridad youtube
