Автор:

Команда экспертов по кибербезопасности Brutecat и Nathan выявила критическую уязвимость в системе YouTube, которая ставила под угрозу приватность миллионов пользователей. Ошибка позволяла злоумышленникам получить доступ к email-адресам, связанным с аккаунтами платформы. Особую опасность это представляло для анонимных авторов — журналистов, активистов и блогеров, скрывающих личность ради безопасности.

Как злоумышленники могли получить данные?

Всё началось с неочевидной детали: при блокировке пользователя в YouTube live-чате система автоматически генерировала API-запрос, который возвращал внутренний идентификатор Google — Gaia ID. Этот уникальный код, как отпечаток пальца, связывает все сервисы аккаунта: Gmail, Диск, Фото и другие. Изначально казалось, что Gaia ID бесполезен без доступа к внутренним системам Google. Однако Brutecat и Nathan доказали обратное.

Используя старые сервисы Google, например, приложение Recorder для смартфонов Pixel, исследователи смогли преобразовать Gaia ID в email. Чтобы жертва не заметила подвоха, они использовали хитрый трюк: переименовывали файл в записи с именем длиной 2,5 миллиона символов. Такая «перегрузка» ломала систему уведомлений, и пользователь не получал оповещения о подозрительном действии.

Реакция Google и хронология событий

Ошибку сообщили компании в сентябре 2024 года, но исправление выпустили только 9 февраля 2025-го. Такой срок вызвал вопросы, но в Google пояснили: уязвимость требовала глубоких изменений в архитектуре сервисов, а следов её эксплуатации хакерами обнаружено не было. Исследователи получили $10,633 в рамках программы вознаграждений — стандартная практика для White Hat-хакеров, помогающих улучшать безопасность.

Чем грозила утечка Gaia ID?

Раскрытие внутреннего идентификатора Google открывало путь к целому спектру атак:

  • Деанонимизация: Привязка анонимного YouTube-аккаунта к реальному email.
  • Целевой фишинг: Персонализированные письма с поддельными ссылками.
  • Цепные атаки: Взлом других сервисов через восстановление доступа.

Как защититься после инцидента?

Google рекомендует обновить все приложения, связанные с аккаунтом, и активировать двухфакторную аутентификацию. Пользователям стоит проверить историю входов в аккаунт и отозвать доступ незнакомых устройств. Для анонимных профилей критически важно использовать отдельные email, не связанные с личными данными.

Даже в экосистеме такого гиганта, как Google, могут скрываться опасные «дыры». Но этот случай — не повод для паники, а напоминание: цифровая безопасность строится на сотрудничестве. Благодаря ответственному баг-хантингу исследователей, катастрофы удалось избежать. Однако каждый пользователь должен помнить: конфиденциальность начинается с малого — внимания к настройкам, обновлениям и подозрительным активностям. В мире, где данные стали валютой, бдительность — лучший антивирус.

Подпишись на ITZine в Дзен Новостях
Читай ITZine в Telegram
Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии