Google допустил утечку почт пользователей YouTube и экстренно закрыл уязвимость

Исследователи Brutecat и Nathan нашли уязвимость, которая позволяла вычислить email-адрес любого владельца YouTube-канала. Проблема заключалась в утечке уникального идентификатора Gaia ID через API живого чата. Используя лазейку в другом сервисе Google — Pixel Recorder, злоумышленники могли преобразовать этот ID в электронную почту, что ставило под угрозу анонимных пользователей.

Google получил уведомление об уязвимости ещё в сентябре 2024 года, но сначала не придал ей большого значения. Компания заявила, что это дубликат известного бага, и выплатила исследователям всего $3 133. Однако после демонстрации второго этапа атаки размер вознаграждения вырос до $10 633. Несмотря на серьёзность проблемы, исправление затянулось почти на пять месяцев.

Разработчики закрыли уязвимость 9 февраля 2025 года, устранив утечку Gaia ID и заблокировав возможность его использования в Pixel Recorder. Также YouTube изменил систему блокировки пользователей, чтобы она не затрагивала другие сервисы Google. По официальным данным, утечкой никто не успел воспользоваться, но доказать это невозможно.

Если подобные ошибки повторятся, Google рискует потерять доверие пользователей, которые рассчитывают на анонимность.