Специалисты по информационной безопасности выявили серьезную уязвимость в системе YouTube, которая позволяла получить доступ к email-адресам пользователей через внутренний идентификатор Google Gaia ID. Проблема была обнаружена исследователями Brutecat и Nathan, которые продемонстрировали возможность компрометации конфиденциальных данных миллионов пользователей платформы.
Механизм эксплуатации уязвимости
Атака состояла из двух этапов и использовала особенности работы API YouTube совместно с сервисом Pixel Recorder. На первом этапе исследователи обнаружили возможность получения идентификатора Gaia ID через функцию блокировки пользователей в чате YouTube. При этом достаточно было просто открыть контекстное меню пользователя, не выполняя фактическую блокировку.
Роль Gaia ID в экосистеме Google
Gaia ID представляет собой уникальный внутренний идентификатор, используемый Google для управления учетными записями пользователей во всех сервисах компании. Этот идентификатор является единым для Gmail, YouTube, Google Drive и других сервисов, что делает его особенно критичным с точки зрения безопасности.
Преобразование Gaia ID в email-адрес
Второй этап атаки заключался в использовании API сервиса Pixel Recorder для конвертации полученного Gaia ID в email-адрес пользователя. Исследователи также разработали метод подавления системы уведомлений, чтобы жертва не получала предупреждений о попытках доступа к данным.
Реакция Google и устранение уязвимости
После получения отчета об уязвимости в сентябре 2024 года, компания Google провела тщательное расследование. Окончательное исправление было выпущено 9 февраля 2025 года. Исследователи получили вознаграждение в размере 10 633 долларов за обнаружение и ответственное раскрытие уязвимости.
Представители Google подтвердили устранение уязвимости и отметили отсутствие признаков её эксплуатации злоумышленниками. Данный инцидент подчеркивает важность постоянного мониторинга безопасности даже в крупных технологических системах и необходимость своевременного обновления механизмов защиты конфиденциальных данных пользователей.
