YouTube ve Google’da dev açık: Araştırmacılar ortaya çıkardı

Google, siber güvenlik araştırmacıları Brutecat ve Nathan’ın, YouTube kullanıcılarının elektronik posta adreslerinin görüntülenebilmesini sağlayan bir açığı giderdiğini duyurdu.

TÜM HESAPLARI ETKİLİYORDU

Güvenlik ve saklılık açısından, kelam konusu yanılgı tüm YouTube hesaplarını etkiliyordu. Tartışmalı içerik üreticileri, araştırmacılar, muhbirler üzere Pek çok YouTube güvenliğini korumak için kimliğini gizlemeyi tercih ediyor.

Böylesi kullanıcıların elektronik posta adreslerinin sızdırılmasının makûs sonuçları olabilirdi.

Brutecat, bir kullanıcıyı YouTube üzerinde engellemenin Google’ın her bir kullanıcı için Gmail, Google Drive üzere platformlarında onu tanımlamaya kullandığı Gaia ID isimli eşsiz tanımlayıcı görebilmenizi mümkün kıldığını söylüyor. Yani bir kullanıcıyı engellemek için profilindeki üç nokta ikonuna tıklayarak, Gaia ID’sini ortaya çıkaran API isteğini tetikleyebiliyordunuz.

Bu eşsiz tanımlayıcılar yalnızca iç süreçlerde kullanılacağı için, aslında bunları görmememiz gerekiyor. Brutecat, edindiği Gaia ID ile, ona bağlı olan elektronik posta adresini bulup bulamayacağını araştırdı.

UNUTULMUŞ GOOGLE UYGULAMALARINDAN EŞLEŞME YAPTI

Nathan’ın da yardımıyla, iki araştırmacı unutulmuş, eski Google uygulamalarından birini kullanarak Gaia ID ile bir elektronik posta adresini eşleştirebildi.

Üstelik tüm bunlardan kurbanın haberi bile olmuyordu.

Google, ikilinin uyarısı ile kelam konusu açığı giderdi ve elektronik posta adreslerini inanca aldı.

Ancak, açığın Google’a 2024 yılı Eylül ayında aktarıldığı, giderilmesinin ise 9 Şubat 2025’i bulduğu belirtiliyor. Her ne kadar Google “bu açığı kullanan bir saldırgana rastlamadık” dese de, teknoloji devinin bu kadar ağırdan alması şaşırtan.
İki araştırmacıya gayretleri karşılığında 10 bin 633 dolar (yaklaşık 380 bin TL) ödül verildi.