Исследователи безопасности Brutecat и Nathan выявили уязвимость в YouTube, позволявшую получить email-адреса пользователей через внутренний идентификатор Google Gaia ID. Уязвимость, раскрытая через программу вознаграждения за обнаружение ошибок Google, была устранена 9 февраля 2025 года.
Механизм эксплуатации уязвимости
Атака реализовывалась в два этапа. На первом этапе исследователи обнаружили, что идентификатор Gaia ID можно извлечь через функцию блокировки пользователей в чате YouTube — достаточно было открыть контекстное меню пользователя, не выполняя фактическую блокировку. На втором этапе полученный Gaia ID конвертировался в email-адрес пользователя через API сервиса Pixel Recorder. Исследователи также разработали метод подавления уведомлений, чтобы жертва не получала предупреждений о попытках доступа к данным.
Роль Gaia ID в экосистеме Google
Gaia ID — уникальный внутренний идентификатор, используемый Google для управления учетными записями во всех сервисах компании. Этот идентификатор является единым для Gmail, YouTube, Google Drive и других платформ, что делает его раскрытие особенно опасным: зная Gaia ID, злоумышленник мог получить реальный email-адрес любого пользователя YouTube, даже если тот использовал псевдоним.
Деанонимизация авторов: под угрозой псевдоанонимные пользователи YouTube
Под угрозой деанонимизации находились все пользователи YouTube — включая авторов каналов, которые публично не раскрывали свои email-адреса и использовали псевдонимы для защиты конфиденциальности. Особую группу риска составляли активисты, журналисты и публичные деятели, использующие YouTube анонимно. Уязвимость также могла быть применена для масштабного сбора email-адресов с целью целевых фишинговых атак.
Реакция Google и устранение уязвимости
Google получила отчет об уязвимости в сентябре 2024 года и провела расследование перед выпуском исправления. Окончательный патч был выпущен 9 февраля 2025 года. Исследователи получили вознаграждение в размере 10 633 долларов в рамках программы Google Bug Hunters. Компания подтвердила отсутствие признаков эксплуатации уязвимости злоумышленниками до её устранения.
Рекомендации: уязвимость закрыта, дополнительных действий не требуется
- Уязвимость полностью устранена — дополнительных действий для защиты учетной записи не требуется.
- Если вы используете один email-адрес для YouTube и других сервисов, рассмотрите создание отдельного адреса для публичной деятельности на платформе.
- Для дополнительной защиты включите двухфакторную аутентификацию в настройках аккаунта Google.
- Авторы каналов, использующие псевдонимы по соображениям безопасности, должны убедиться, что их реальный email не фигурирует в публичных материалах канала.
