- Mientras investigaban la documentación interna de People API de Google, descubrieron que al bloquear a un usuario se usan un “Gaia ID ofuscado”, llamado “ID de perfil”, y un “nombre alternativo”
- Confirmaron que, al bloquear a otro usuario en YouTube, el Gaia ID de ese usuario podía quedar expuesto al mostrarse en
https://myaccount.google.com/blocklist
- Como estos Gaia ID son identificadores de cuentas de Google, surgió la posibilidad de averiguar la dirección de correo electrónico del usuario a partir de ellos
Escalabilidad a todos los canales de YouTube
- Investigaron no solo si se podía ver el Gaia ID de usuarios del chat en vivo, sino también si era posible obtener esta información para todos los canales de YouTube
- Descubrieron que al hacer clic en el menú “Más” de un canal en YouTube se genera una solicitud específica, y que esa solicitud incluye el Gaia ID del canal
- Confirmaron que era posible obtener el Gaia ID del canal mediante esas solicitudes
Obtención de direcciones de correo mediante Pixel Recorder
- Probaron si era posible convertir un Gaia ID en una dirección de correo electrónico mediante un producto de Google llamado Pixel Recorder
- Confirmaron que, al compartir una grabación, si se introducía el Gaia ID del destinatario, se devolvía su dirección de correo electrónico
- Con ello verificaron que era posible convertir un Gaia ID en una dirección de correo electrónico
Obtener direcciones de correo sin notificar a la víctima
- Había un problema: al compartir la grabación se enviaba un correo de notificación al destinatario
- Descubrieron una forma de eludirlo configurando un título de grabación extremadamente largo para evitar que se enviara el correo de notificación
Cadena de ataque completa
- Obtener el Gaia ID del canal mediante el endpoint
/get_item_context_menu de YouTube
- Usar Pixel Recorder para compartir con la víctima una grabación con un título extremadamente largo y así convertir el Gaia ID en dirección de correo electrónico
- Eliminar a la víctima de la lista de compartidos para borrar el rastro
Reporte y recompensa
- 15 de septiembre de 2024: se reportó la vulnerabilidad a Google
- 16 de septiembre de 2024: Google recibió el reporte y respondió con el comentario “Nice catch!”
- 5 de noviembre de 2024: el panel de seguridad de Google decidió una recompensa de $3,133
- 12 de diciembre de 2024: se otorgó una recompensa adicional de $7,500, para un total de $10,633
- 12 de febrero de 2025: la vulnerabilidad se hizo pública
1 comentarios
Opiniones de Hacker News
Este título me pareció confuso. Para quienes no leyeron hasta el final del artículo: los correos filtrados no les costaron nada y recibieron una recompensa de bug bounty de 10,000 dólares
En cada tercer mensaje de este hilo aparece algo sobre que Google pagó poco por este bug. Algunos puntos básicos sobre la valoración de vulnerabilidades:
El pago de recompensas por lo general no es una evaluación de qué tan creativo o interesante es un bug. Pero aquí, 10,000 dólares se siente muy alto para un bug web del lado del servidor
La estrategia de negocio de quienes buscan este tipo de bugs es encontrar muchos bugs. No invertir meses en un solo exploit como en el desarrollo de exploits para iOS
Se parece a la investigación de vulnerabilidades que hice en una etapa reciente de mi carrera. Pero si hay gente que se dedica profesionalmente a esto, me gustaría escuchar su opinión
Hay mucha conversación sobre la divulgación responsable, sus motivaciones y recompensas. Pero no hay historias como esta como dato en contra de la identidad permanente centralizada
Cada vez que veo un servicio que afirma funcionar solo con un enlace único a Real Identity™, recuerdo que a los proveedores en realidad no les interesa proteger a los usuarios
Imaginen estar a unos pocos pasos más de poder exponer de inmediato a cualquier persona con la que interactúan en YouTube. Ese es el impacto real de este bug
Qué bueno que este bug fue corregido, pero no parece que este tipo de bugs vaya a desaparecer pronto. ¿Qué habría que hacer para que los proveedores y las grandes empresas entiendan que estos diseños son peligrosos?
¡Excelente hallazgo! Encontrar una vulnerabilidad en un servicio tan famoso se verá muy bien en el currículum. Felicidades
"Se aplicó un ajuste de un nivel hacia abajo desde la cantidad base debido a la complejidad requerida en la cadena de ataque" — ¿esto es algo común?
Solo he participado en algunos programas de vulnerabilidades, pero en la mayoría pagan menos cuando la falla de seguridad es muy simple
Otro comentarista ya explicó cómo se relaciona el monto de la recompensa con su valor en el mercado negro. Ahora mucha gente puede pensar que Google no se toma la seguridad lo suficientemente en serio
Por motivos de seguridad, se debería pagar lo menos posible. Pagar más aumenta el incentivo para encontrar bugs, y también podría hacer crecer el mercado negro
La estrategia GTO es bloquear el mercado negro con la menor cantidad de dinero posible
Estaba buscando objetivos de investigación en Google y estaba revisando el documento de hallazgo de Internal People API (Staging). ¿Esto debería estar expuesto públicamente?
Ojalá hubiera una forma de enviar correos a los dueños de canales de YouTube. La mayoría no tiene contacto por email y es difícil comunicarse con ellos para patrocinios u otros acuerdos
Me pregunto si Google divulga vulnerabilidades de seguridad cuando no se corrigen en 90 días. En este caso, se corrigió después de 147 días
Evitar que el sistema de correo se envíe es un problema adicional. Una empresa grande como Google ha desarrollado muchos productos, pero la "seguridad" se siente falsa. Cada línea de código puede convertirse en una vulnerabilidad potencial