YouTube电子邮件地址可能已经暴露出来,但是Google借助这些研究人员将其修复了。 学分:Jaque Silva / Nurphoto / Getty Images
修复了一个安全漏洞,该漏洞暴露了电子邮件地址用户,潜在的大规模隐私漏洞。
拥有YouTube的Google证实了网络安全研究人员发现的漏洞brutecat和内森根据报告易怒的计算机。
除了对所有YouTube帐户影响的隐私之外,许多YouTuber之外,有争议的内容创建者,调查人员,举报者和激进主义者都将其身份匿名以保护其安全。暴露此类用户的电子邮件可能会产生巨大的影响。
BruteCat发现,在YouTube上阻止用户在其所有平台(Gmail,Google Drive等)中为每个用户揭示了唯一的内部标识符,称为GAIA ID。然后,他们发现,只需单击用户的实时聊天配置文件的三个点图标即可访问块函数,触发了揭示其GAIA ID的API请求。
可混合的轻速速度
这本身就是一个安全缺陷,因为它暴露了仅在内部使用的YouTube帐户的唯一标识符。但是,现在BruteCat能够检索用户的Gaia ID,他们着手查看是否可以揭示与每个ID相关的电子邮件地址。
在内森(Nathan)的帮助下,两位研究人员推测他们可以使用“旧遗忘的Google产品,因为他们可能包含一些错误或逻辑缺陷来解决Gaia ID到电子邮件中。”他们使用Google的Recorder应用程序用于像素设备,他们测试了与混淆的Gaia ID共享录音,并通过用250万个字母名称重命名文件来阻止用户接收电子邮件通知,这打破了电子邮件通知系统,因为它太长了。
既然假设的受害者将无法通知,研究人员将使用GAIA IDS发送了文件共享请求,从而有效地将ID转换为电子邮件地址。
多亏了BruteCat和Nathan的侦查,Google能够锁定该漏洞,并阻止黑客访问与YouTube帐户相关的每个人的电子邮件地址。该漏洞在2024年9月向Google披露,最终于2025年2月9日固定。这是可能的可能暴露的长时间,但Google向BleepingComputer确认,“没有任何攻击者主动利用这些缺陷的迹象”。
作为他们的工作,研究人员获得了10,633美元的凉爽。 ph,危机避免了。
Cecily是Mashable的技术记者,涵盖了AI,Apple和新兴技术趋势。在哥伦比亚新闻学院获得硕士学位之前,她花了数年的时间与不合理的集团和B实验室的初创企业和社会影响业务合作。在此之前,她共同创立了一家针对南美,欧洲和亚洲新兴企业家枢纽的初创咨询业务。您可以在Twitter上找到她@cecily_mauran。
