YouTube, jako jedna z najpopularniejszych platform do udostępniania wideo, od lat zapewnia użytkownikom możliwość publikowania treści, często w sposób anonimowy. Jednak niedawno odkryta luka w zabezpieczeniach mogła zagrozić prywatności milionów osób. Badacze bezpieczeństwa znaleźli sposób na ujawnienie adresów e-mail właścicieli kanałów, wykorzystując kombinację podatności w interfejsach API YouTube i Pixel Recorder. Google, po otrzymaniu zgłoszenia, naprawiło problem, ale skala zagrożenia była znacząca.
Łańcuch błędów prowadzący do ujawnienia danych
Luka w zabezpieczeniach została wykryta przez badaczy znanych jako Brutecat i Nathan, którzy natrafili na mechanizm pozwalający na uzyskanie identyfikatora Google Gaia użytkowników YouTube, a następnie na jego podstawie – na ujawnienie adresu e-mail. Identyfikator Gaia to unikalny numer przypisany do każdego konta Google, wykorzystywany wewnętrznie do zarządzania kontami na różnych platformach. Normalnie nie jest on dostępny publicznie, ale badacze znaleźli sposób na jego pozyskanie poprzez funkcję blokowania użytkowników na czacie na żywo w YouTube. Przyglądając się odpowiedziom API po kliknięciu opcji blokowania na czacie, odkryli, że dane użytkownika są zwracane w zakodowanej formie, ale po ich odszyfrowaniu zawierają identyfikator Gaia. Co więcej, nie było nawet konieczności faktycznego blokowania danej osoby – samo otwarcie menu kontekstowego generowało zapytanie API ujawniające identyfikator.
Od identyfikatora do adresu e-mail
Samo uzyskanie identyfikatora Gaia nie oznaczało jeszcze pełnego naruszenia prywatności. Ważnym elementem okazała się druga luka, tym razem związana z Pixel Recorder, aplikacją Google do nagrywania dźwięku. Nathan odkrył, że można wykorzystać funkcję udostępniania nagrań w Pixel Recorder, aby na podstawie identyfikatora Gaia uzyskać powiązany adres e-mail użytkownika. To oznaczało, że osoba posiadająca identyfikator Gaia dowolnego kanału YouTube mogła uzyskać adres e-mail jego właściciela – w tym twórców, aktywistów czy sygnalistów, którzy często dbają o swoją anonimowość.
Google reaguje na zgłoszenie badaczy
Błąd został zgłoszony do Google 24 września 2024 roku, jednak początkowo gigant technologiczny uznał problem za duplikat wcześniej zgłoszonej luki i przyznał badaczom nagrodę w wysokości 3 133 dolarów. Dopiero gdy badacze zaprezentowali drugą część ataku, wykorzystującą Pixel Recorder, firma podniosła kwotę do 10 633 dolarów, uznając podatność za znacznie groźniejszą. Finalnie Google usunęło możliwość wycieku identyfikatorów Gaia oraz zabezpieczyło mechanizm ich konwersji na adresy e-mail poprzez Pixel Recorder. Dodatkowo zmodyfikowano system blokowania użytkowników na YouTube, aby nie obejmował on innych usług Google.
Google potwierdziło, że luki zostały załatane 9 lutego 2025 roku i że nie ma dowodów na to, by były one aktywnie wykorzystywane przez cyberprzestępców. Niemniej jednak sytuacja pokazuje, jak nawet pozornie niewielkie podatności w różnych systemach mogą zostać połączone w groźny atak na prywatność użytkowników.
