Google corrige un fallo de seguridad en YouTube
Google ha solucionado una vulnerabilidad de seguridad que expuso las direcciones de correo electrónico de los usuarios de YouTube, lo que podría haber provocado una grave violación de la privacidad. Google, que es propietario de YouTube, ha confirmado que las vulnerabilidades descubiertas por los investigadores de ciberseguridad, conocidos como Brutecat y Nathan, han sido abordadas, según un informe de BleepingComputer. Además de la violación de la privacidad que habría afectado a todas las cuentas de YouTube, muchos creadores de contenido, investigadores, denunciantes y activistas mantienen sus identidades en el anonimato para proteger su seguridad. Exponer los correos electrónicos de tales usuarios podría haber tenido grandes repercusiones.
Detalles de la vulnerabilidad
Brutecat descubrió que bloquear a un usuario en YouTube revelaba un identificador interno único que Google usa para cada usuario en todas sus plataformas (Gmail, Google Drive, etc.) llamado ID de Gaia. Luego, se dieron cuenta de que simplemente hacer clic en el ícono de tres puntos del perfil de un usuario en el chat en vivo para acceder a la función de bloqueo desencadenaba una solicitud de API que revelaba su ID de Gaia.
Esto ya representaba un fallo de seguridad, ya que exponía identificadores únicos para cuentas de YouTube que solo deberían usarse internamente. Pero ahora que Brutecat pudo recuperar los IDs de Gaia de los usuarios, se propusieron ver si podían revelar las direcciones de correo electrónico asociadas a cada ID. Con la ayuda de Nathan, los dos investigadores dedujeron que podrían hacer esto con “productos olvidados de Google, ya que probablemente contenían algún error o falla lógica para resolver un ID de Gaia a un correo electrónico”. Usando la aplicación Recorder de Google para dispositivos Pixel, probaron compartir una grabación con un ID de Gaia ofuscado y bloquearon al usuario de recibir una notificación por correo electrónico al renombrar el archivo con un nombre de 2.5 millones de letras, que rompió el sistema de notificaciones por correo electrónico porque era demasiado largo. Ahora que la hipotética víctima no sería notificada, los investigadores enviaron la solicitud de compartición de archivos con los IDs de Gaia, convirtiendo efectivamente el ID en una dirección de correo electrónico.
Conclusiones y recompensa
Gracias a la investigación de Brutecat y Nathan, Google pudo cerrar esa vulnerabilidad y evitar que los hackers accedieran a las direcciones de correo electrónico de todos los usuarios asociados con sus cuentas de YouTube. La vulnerabilidad fue revelada a Google en septiembre de 2024 y fue finalmente corregida el 9 de febrero de 2025. Eso es mucho tiempo para una posible exposición, pero Google confirmó a BleepingComputer que “no hay signos de que algún atacante haya explotado activamente las fallas”. A cambio de su trabajo, los investigadores recibieron una suma de $10,633. Afortunadamente, la crisis fue evitada.
Fuente y créditos: mashable.com
Cats: Tech
