O Google corrigiu uma vulnerabilidade no YouTube que poderia permitir a descoberta do endereço de e-mail de qualquer usuário. O problema foi identificado pelo pesquisador de segurança brutecat, que recebeu uma recompensa de US$ 10.000 pelo relatório.
Leia também
Alerta da Fortinet para sequestro de firewalls
Uso de nuvem desafia equipes de cyber
A falha envolvia o bloqueio arbitrário de usuários no YouTube para obter seus Gaia IDs (um Gaia ID é o ID do Sistema de gerenciamento de todos os produtos do Google). Em seguida, o pesquisador conseguiu recuperar o e-mail associado ao Gaia ID usando o serviço Pixel Recorder do Google. Ao compartilhar uma gravação via Gaia ID, um endpoint do Google revelava o e-mail do usuário.
O Google normalmente notifica os usuários quando uma gravação é compartilhada, mas o pesquisador descobriu que um título excessivamente longo impedia o envio do e-mail de notificação, tornando o ataque indetectável.
O problema foi reportado ao Google em 15 de setembro do ano passado. Inicialmente, o pesquisador recebeu US$ 3.133, mas um mês depois o valor foi aumentado para US$ 10.000 devido à gravidade do impacto. Apesar disso, muitas críticas apontam que a recompensa foi baixa para uma vulnerabilidade desse nível.
