A Google confirmou ter corrigido uma falha de segurança no Youtube, que poderia permitir o acesso aos emails de contas na plataforma, que poderia ser considerado uma falha grave de segurança e privacidade para qualquer canal na plataforma.
As falhas foram descobertas pelos investigadores Brutecat e Nathan, que descobriram que, usando a API do Pixel Recorder e do Youtube, era possível obter acesso aos emails de praticamente qualquer conta do Youtube. Estes endereços de email são os usados para o login na plataforma, e nem sempre são associados com endereços publicamente acessíveis.
A capacidade de obter o email do criador de um determinado canal é considerada uma falha grave de privacidade e segurança, e pode permitir ataques direcionados para os mesmos.
Os investigadores revelaram ser possível obter o Google Gaia ID, que basicamente trata-se de uma identificação direta da Google para contas da empresa, mas que pode ser rapidamente convertida no email associado com a conta.
A falha encontrava-se presente na própria API da Google para o Youtube, e acredita-se que tenha sido explorada durante meses para levar ao roubo dos emails de milhares de criadores de conteúdos nesta plataforma. Embora algumas das APIs usadas para tal atividade estejam atualmente inacessíveis, visto terem sido descontinuadas, os investigadores descobriram que ainda é possível usar a API do Pixel Recorder para a mesma tarefa.
Tendo o Gaia ID da conta, os atacantes poderiam usar a API do Pixel Recorder para rapidamente converterem a mesma num email, que seria associado com os endereços das contas do Youtube.
A falha foi revelada pelos investigadores à Google em 24 de Setembro de 2024, mas apenas foi corrigida em 9 de Fevereiro de 2025. Inicialmente a empresa indicou que a falha seria duplicada de um bug existente, tendo apenas recompensado os investigadores em 3133 dólares. No entanto, depois de ter sido descoberta a falha da API do Pixel Recorder, a recompensa aumentou para 10.633 dólares.
A falha não pode atualmente ser explorada, tendo sido corrigida graças à divulgação feita pelos investigadores.
Nenhum comentário
Seja o primeiro!