Обнаружена уязвимость в безопасности YouTube, поставившая под угрозу электронные адреса миллиардов пользователей

Исследователь обнаружил тревожную уязкость безопасности YouTube. Этот недостаток позволял сторонним лицам получать доступ ко всем электронным адресам аккаунтов на YouTube. В настоящее время этот баг исправлен, поэтому пользователям следует как можно скорее обновиться. Эксперты предупреждают, что любой электронный адрес из аккаунта YouTube мог быть получен с помощью «довольно простого уязвимости».

Исследователь под псевдонимом Brutecat (Брутекэт) сумел использовать несколько уязвимостей в продуктах Google для доступа к электронным адресам любых пользователей YouTube, как сообщает CyberNews. В настоящее время Google исправила эту проблему, но это представляет серьезную угрозу конфиденциальности пользователей и может подвергнуть их риску фишинговых атак.

Каждый день 1 миллиард часов контента на YouTube смотрят почти 2,5 миллиарда пользователей и около 51 миллиона каналов. Поэтому защита приватности крайне важна.

Разведка уязвимостей была обнаружена потому, что исследователь "копался в Internal People API (staging)" и заметил "что-то интересное". Они нашли, что если заблокировать кого-либо на YouTube, можно раскрыть его идентификатор аккаунта Google. В процессе исследования они обнаружили, что при нажатии меню контекста с тремя точками GAIA ID включался в ответ сервера, поэтому не требовалось блокировать канал — это могло быть применено ко всем аккаунтам YouTube.

Затем исследователь обнаружил, что старые продукты Google содержали баг, позволяющий преобразовать открытый GAIA ID в электронный адрес. Вначале при этом отправлялось уведомление на почту жертвы — что значительно снижало влияние уязвимости.

Однако исследователь нашел обходной путь: «Это когда мы поняли, что если заголовок записи включается в тему электронного сообщения, возможно, оно не сможет отправить его при слишком длинном заголовке». Эта тактика сработала — увеличив заголовок записи до 2,5 миллионов символов, "бонго! Никакого уведомления".

За раскрытие уязвимости исследователь получил вознаграждение в размере $10,633. Существует давняя традиция предоставления наград за обнаружение ошибок безопасности со стороны разработчиков программного обеспечения. В 2023 году Google выплатила $10 миллионов.

Если вы всегда настороженно относитесь к получаемым электронным письмам, вы будете в более безопасном положении. Для обеспечения безопасности создайте сильные и надежные пароли для каждого аккаунта и регулярно меняйте их.

Еще одним важным фактором является наличие вложений — если адрес отправителя неизвестен и письмо содержит изображения, ссылки или документы, это вызывает подозрение. QR-коды могут быть злонамеренными, поэтому сканируйте их только при уверенности в безопасности.

Кроме того:

• Проверьте вашу систему против вредоносного программного обеспечения.
• Будьте бдительны к фишинговым атакам — они стали гораздо более изощренными.
• Используйте лучшие программы для удаления вредоносных программ.