Isplaćeno 10.633 dolara istraživačima za otkrivanje propusta u privatnosti YouTube-a

Propust u privatnosti YouTube-a: Istraživači otkrili curenje e-mail adresa

 

Google je isplatio 10.633 dolara istraživačima sajber bezbjednosti za otkrivanje propusta u privatnosti YouTube-a, koji je omogućavao da se saznaju e-mail adrese korisnika. Ovaj bezbjednosni propust pokazao je da YouTube nalozi nisu u potpunosti privatni, što je moglo ugroziti milijarde korisnika.

 

Kako su hakeri mogli doći do e-mail adresa sa YouTube-a?

 

BruteCat, stručnjak za sajber bezbjednost i autor bloga brutecat.com, otkrio je propust tako što je povezao nekoliko slabosti u Google servisima.

Prvi korak: Pribavljanje Gaia ID-a

Problem je nastao jer je YouTube nesvjesno otkrivao Gaia ID, jedinstveni identifikator koji Google koristi za praćenje korisnika širom svojih platformi. BruteCat je otkrio da, kada neko pokuša da blokira YouTube kanal, server u odgovoru prikazuje i ime kanala i Gaia ID. Ova informacija je takođe bila dostupna klikom na taster sa tri tačke pored kanala, što znači da je potencijalno moglo biti ugroženo svih četiri milijarde YouTube naloga.

„YouTube nikada ne bi smio da otkriva Google nalog povezan sa YouTube kanalom“, napisao je BruteCat u svom blog postu.

Drugi korak: Pretvaranje Gaia ID-a u e-mail adresu

Kako bi Gaia ID pretvorili u e-mail adresu, BruteCat je sarađivao sa istraživačem bezbjednosti Nathanom (schizo.org). Njih dvojica su analizirali starije Google proizvode i otkrili da Pixel Recorder otkriva e-mail adresu korisnika prilikom dijeljenja videa.

Treći korak: Zaobilaženje Google-ovih bezbjednosnih obavještenja

Google je korisnicima slao upozorenja svaki put kada bi neko pristupio njihovoj e-mail adresi. Međutim, istraživači su pronašli način da zaobiđu ova obavještenja tako što su koristili naslov videa sa 2,5 miliona slova „X“ u temi e-maila. Na taj način, Google-ov sistem nije mogao da pošalje upozorenje korisniku.

 

Kako je Google reagovao na ovaj bezbjednosni propust?

 

BruteCat je 15. septembra 2024. godine prijavio ovaj propust Google-u. U početku, Google je popravio samo dio problema i isplatio nagradu od 3.133 dolara, procjenjujući da je rizik umjeren. Međutim, nakon dodatnih objašnjenja, Google je priznao propust u Pixel Recorder-u i dodijelio još 7.500 dolara, čime je ukupan iznos bug bounty nagrade dostigao 10.633 dolara.

 

Šta ovo znači za bezbjednost YouTube-a?

 

Ovo otkriće ukazuje na rizike privatnosti u povezanim Google servisima i ističe važnost bug bounty programa, koji pomažu u otkrivanju ranjivosti prije nego što ih hakeri iskoriste.

Ako ste YouTube kreator, provjerite svoje postavke privatnosti i budite oprezni kada dijelite osjetljive informacije o svom nalogu. Google konstantno poboljšava bezbjednost, ali informisanost je ključ zaštite vaših podataka.