SecAtor

Исследователи Brutecat обнаружили две уязвимости, при объединении которых злоумышленник может раскрыть адреса электронной почты аккаунтов YouTube.

Как оказалось, API YouTube и Pixel Recorder можно задействовать для извлечения идентификаторов Google Gaia пользователей, которые впоследствии позволяют их преобразовать в адреса электронной почты.

Первая часть цепочки атак, которую можно было эксплуатировать в течение нескольких месяцев, вскрылась после изучения API Google People, в котором функция «блокировки» в масштабах всей сети Google требует замаскированного идентификатора Gaia и отображаемого имени.

Gaia ID - это уникальный внутренний идентификатор, который Google использует для управления учетными записями в своей сети сайтов и служб.

При этом он используется только во внутреннем обмене данными между системами Google и не раскрывается публично.

Экспериментируя с функцией блокировки на YouTube, BruteCat обнаружили, что при попытке заблокировать кого-либо YouTube раскрывает замаскированный идентификатор Gaia целевого лица в ответе на запрос API /youtube/v1/live_chat/get_item_context_menu.

Ответ включал данные в кодировке base64, которые после декодирования содержали идентификатор Gaia целевого пользователя.

Причем простое нажатие на меню из трех точек в чате запускало фоновый запрос к API YouTube, позволяя получать доступ к идентификатору без необходимости блокировать.

Изменив вызов API, исследователи смогли извлекать идентификатор Gaia любого канала YouTube, включая те, которые пытались сохранить анонимность.

Затем BruteCat предстояло отыскать способы конвертации Gaia ID в адрес электронной почты.

Однако пользоволяющие это сделать API устарели или больше не работали, поэтому BruteCat прошерстлили все устаревшие сервисы гугла, которые потенциально все еще могут быть использованы злоумышленниками.

В ходе экспериментов исследователи выяснили, что Pixel Recorder имеет веб-API, который позволял преобразовывать идентификатор в адрес электронной почты при обмене записью.

Таким образом, после получения Gaia ID пользователя YouTube можно было задействовать функцию обмена данными Pixel Recorder, которая возвращала связанный с идентификатором адрес почты, что потенциально ставило под угрозу личность миллионов пользователей YouTube.

Исследователи сообщили об уязвимости в Google еще 24 сентября 2024 года, но окончательно она была исправлена лишь на прошлой неделе, 9 февраля 2025 года.

Дело в том, что Google изначально признала уязвимость дубликатом ранее отслеживаемой ошибки, назначив вознаграждение в размере $3133.

Однако после демонстрации дополнительного компонента цепочки атак в виде Pixel Recorder, в Google моментально переобулись, увеличили вознаграждение до $10633 и отметили высокую вероятность того, что ошибка может быть использована в реальных условиях.

К настоящему времени Google внесла все необходимые исправления и заверила об отсутствии каких-либо признаков активной эксплуатации этой уязвимости (а товарищу майору выдала новые инструкции по деанонимизаци интересующих аккаунтов).

brutecat.com

Leaking the email of any YouTube user for $10,000

What could've been the largest data breach in the world - an attack chain on Google services to leak the email address of any YouTube channel

www.group-telegram.com/us/true_secator.com/6738

6.9K viewsFeb 14 at 15:07

Исследователи Brutecat обнаружили две уязвимости, при объединении которых злоумышленник может раскрыть адреса электронной почты аккаунтов YouTube.

Как оказалось, API YouTube и Pixel Recorder можно задействовать для извлечения идентификаторов Google Gaia пользователей, которые впоследствии позволяют их преобразовать в адреса электронной почты.

Первая часть цепочки атак, которую можно было эксплуатировать в течение нескольких месяцев, вскрылась после изучения API Google People, в котором функция «блокировки» в масштабах всей сети Google требует замаскированного идентификатора Gaia и отображаемого имени.

Gaia ID - это уникальный внутренний идентификатор, который Google использует для управления учетными записями в своей сети сайтов и служб.

При этом он используется только во внутреннем обмене данными между системами Google и не раскрывается публично.

Экспериментируя с функцией блокировки на YouTube, BruteCat обнаружили, что при попытке заблокировать кого-либо YouTube раскрывает замаскированный идентификатор Gaia целевого лица в ответе на запрос API /youtube/v1/live_chat/get_item_context_menu.

Ответ включал данные в кодировке base64, которые после декодирования содержали идентификатор Gaia целевого пользователя.

Причем простое нажатие на меню из трех точек в чате запускало фоновый запрос к API YouTube, позволяя получать доступ к идентификатору без необходимости блокировать.

Изменив вызов API, исследователи смогли извлекать идентификатор Gaia любого канала YouTube, включая те, которые пытались сохранить анонимность.

Затем BruteCat предстояло отыскать способы конвертации Gaia ID в адрес электронной почты.

Однако пользоволяющие это сделать API устарели или больше не работали, поэтому BruteCat прошерстлили все устаревшие сервисы гугла, которые потенциально все еще могут быть использованы злоумышленниками.

В ходе экспериментов исследователи выяснили, что Pixel Recorder имеет веб-API, который позволял преобразовывать идентификатор в адрес электронной почты при обмене записью.

Таким образом, после получения Gaia ID пользователя YouTube можно было задействовать функцию обмена данными Pixel Recorder, которая возвращала связанный с идентификатором адрес почты, что потенциально ставило под угрозу личность миллионов пользователей YouTube.

Исследователи сообщили об уязвимости в Google еще 24 сентября 2024 года, но окончательно она была исправлена лишь на прошлой неделе, 9 февраля 2025 года.

Дело в том, что Google изначально признала уязвимость дубликатом ранее отслеживаемой ошибки, назначив вознаграждение в размере $3133.

Однако после демонстрации дополнительного компонента цепочки атак в виде Pixel Recorder, в Google моментально переобулись, увеличили вознаграждение до $10633 и отметили высокую вероятность того, что ошибка может быть использована в реальных условиях.

К настоящему времени Google внесла все необходимые исправления и заверила об отсутствии каких-либо признаков активной эксплуатации этой уязвимости (а товарищу майору выдала новые инструкции по деанонимизаци интересующих аккаунтов).

BY SecAtor