O problema foi descoberto pelos investigadores de segurança BruteCat e Nathan, que identificaram vulnerabilidades nas APIs do YouTube e Pixel Recorder, permitindo obter um identificador Gaia ID, usado internamente pela Google, e convertê-lo no endereço de email associado a essa conta.
O ataque começou com a funcionalidade de bloqueio do chat do YouTube, que expunha um Gaia ID codificado em base64 sempre que um utilizador era bloqueado. Alterando o pedido da API, os investigadores conseguiram aceder ao Gaia ID de qualquer canal do YouTube sem necessidade de fazer o bloqueio. A segunda parte do ataque utilizava a API web do Pixel Recorder, que permitia converter um Gaia ID num endereço de email, deixando em risco todos os milhões de utilizadores da Google.
Os investigadores reportaram a falha à Google em Setembro de 2024, mas inicialmente foi considerada apenas um bug duplicado, com uma recompensa de $3.133. No entanto, após demonstrarem o processo completo, a Google reconheceu a gravidade do problema e aumentou a recompensa para $10.633.
A correção foi lançada a 9 de Fevereiro de 2025, eliminando a divulgação do identificador Gaia ID assim como a capacidade de o converter num endereço email. A Google também corrigiu o sistema de bloqueio, garantindo que bloquear um utilizador no YouTube não afecta outros serviços da empresa. Diz também não ter indicações de que esta falha tenha sido explorada antes da sua correção.
Sem comentários:
Enviar um comentário (problemas a comentar?)