YouTube ve Google'da dev açık: Araştırmacılar ortaya çıkardı

Google, siber güvenlik araştırmacıları Brutecat ve Nathan'ın, YouTube kullanıcılarının elektronik posta adreslerinin görüntülenebilmesini sağlayan bir açığı giderdiğini duyurdu.

TÜM HESAPLARI ETKİLİYORDU

Güvenlik ve gizlilik açısından, söz konusu hata tüm YouTube hesaplarını etkiliyordu. Tartışmalı içerik üreticileri, araştırmacılar, muhbirler gibi Pek çok YouTube güvenliğini korumak için kimliğini gizlemeyi tercih ediyor.

Böylesi kullanıcıların elektronik posta adreslerinin sızdırılmasının kötü sonuçları olabilirdi.

Brutecat, bir kullanıcıyı YouTube üzerinde engellemenin Google'ın her bir kullanıcı için Gmail, Google Drive gibi platformlarında onu tanımlamaya kullandığı Gaia ID adlı benzersiz tanımlayıcı görebilmenizi mümkün kıldığını söylüyor. Yani bir kullanıcıyı engellemek için profilindeki üç nokta ikonuna tıklayarak, Gaia ID'sini ortaya çıkaran API isteğini tetikleyebiliyordunuz.

Bu benzersiz tanımlayıcılar sadece iç işlemlerde kullanılacağı için, aslında bunları görmememiz gerekiyor. Brutecat, edindiği Gaia ID ile, ona bağlı olan elektronik posta adresini bulup bulamayacağını araştırdı.

UNUTULMUŞ GOOGLE UYGULAMALARINDAN EŞLEŞME YAPTI

Nathan'ın da yardımıyla, iki araştırmacı unutulmuş, eski Google uygulamalarından birini kullanarak Gaia ID ile bir elektronik posta adresini eşleştirebildi.

Üstelik tüm bunlardan kurbanın haberi bile olmuyordu.

Google, ikilinin uyarısı ile söz konusu açığı giderdi ve elektronik posta adreslerini güvene aldı.

Ancak, açığın Google'a 2024 yılı Eylül ayında aktarıldığı, giderilmesinin ise 9 Şubat 2025'i bulduğu belirtiliyor. Her ne kadar Google "bu açığı kullanan bir saldırgana rastlamadık" dese de, teknoloji devinin bu kadar ağırdan alması şaşırtıcı.
İki araştırmacıya çabaları karşılığında 10 bin 633 dolar (yaklaşık 380 bin TL) ödül verildi.