Google corrige falha que expunha endereços de e-mail de usuários do YouTube

Pesquisadores de segurança descobriram que era possível combinar duas vulnerabilidades para revelar o endereço de e-mail associado a qualquer conta do YouTube, comprometendo a privacidade de usuários que desejam permanecer anônimos.

O problema residia na funcionalidade de bloqueio do YouTube. Ao tentar bloquear alguém em um chat ao vivo, o site realizava uma requisição à API /youtube/v1/live_chat/get_item_context_menu, que retornava uma resposta contendo o Gaia ID do usuário-alvo. Esse identificador interno, utilizado pelo Google para gerenciar contas em serviços como Gmail, YouTube e Google Drive, não deveria estar acessível publicamente. Os pesquisadores apontam que nem era necessário efetuar o bloqueio — bastava abrir o menu de três pontos em um chat para obter o Gaia ID

Para converter esse identificador em um endereço de e-mail, a equipe explorou uma falha na ferramenta Pixel Recorder do Google, que permitia inserir um Gaia ID e obter o e-mail correspondente. Como o Google enviava notificações por e-mail sempre que uma gravação era compartilhada, um invasor poderia ser detectado. No entanto, os pesquisadores descobriram uma maneira de contornar esse aviso, manipulando a requisição da API para incluir milhões de caracteres no título do vídeo compartilhado, o que fazia a notificação falhar.

O Google corrigiu ambas as falhas e afirma que não há indícios de exploração por hackers.