Фахівці з кібербезпеки виявили критичну вразливість в системі YouTube, яка потенційно загрожувала конфіденційності мільйонів користувачів платформи. Дослідники безпеки Brutecat та Nathan продемонстрували можливість отримання email-адрес користувачів через внутрішній ідентифікатор Google Gaia ID, що становило серйозну загрозу приватності даних.
Технічні деталі експлуатації вразливості
Виявлена вразливість експлуатувалася через двоетапний процес, який використовував особливості взаємодії API YouTube та сервісу Pixel Recorder. Перший етап включав отримання Gaia ID через функціонал блокування користувачів у чаті YouTube, при цьому фактична блокировка користувача не була потрібна. Достатньо було лише відкрити контекстне меню профілю цільового користувача.
Значення Gaia ID в екосистемі Google
Gaia ID є критично важливим компонентом інфраструктури Google, який використовується як унікальний ідентифікатор для управління обліковими записами користувачів across всіх сервісів компанії. Цей ідентифікатор пов’язує між собою акаунти Gmail, YouTube, Google Drive та інші сервіси, що робить його компрометацію особливо небезпечною.
Методологія атаки та отримання email-адрес
На другому етапі атаки дослідники використовували API сервісу Pixel Recorder для конвертації отриманого Gaia ID в email-адресу користувача. Важливим елементом експлойту стала розробка механізму придушення системи сповіщень, що запобігало інформуванню жертви про спроби несанкціонованого доступу до даних.
Відповідь Google та усунення загрози
Після отримання звіту про вразливість у вересні 2024 року, команда безпеки Google провела комплексне розслідування інциденту. Остаточне виправлення було впроваджено 9 лютого 2025 року. За відповідальне розкриття вразливості дослідники отримали винагороду в розмірі 10 633 доларів через програму bug bounty.
Цей інцидент підкреслює необхідність постійного вдосконалення систем безпеки навіть у найбільших технологічних компаніях. Хоча Google підтвердила відсутність ознак експлуатації вразливості зловмисниками, випадок демонструє важливість своєчасного виявлення та усунення потенційних загроз безпеці користувацьких даних. Рекомендується регулярно перевіряти налаштування безпеки облікових записів та використовувати додаткові методи захисту, такі як двофакторна автентифікація.
