Google, YouTube Kullanıcılarının E-posta Adreslerini Ortaya Çıkaran Güvenlik Açığını Giderdi
Google, YouTube hesaplarının e-posta adreslerini açığa çıkarabilecek iki güvenlik açığını düzeltti. Bu açıklar, özellikle anonim olarak platformu kullanan kişiler için büyük bir gizlilik ihlali riski oluşturuyordu. Güvenlik araştırmacıları Brutecat (brutecat.com) ve Nathan (schizo.org), YouTube ve Pixel Recorder API’lerinin kullanıcıların Google Gaia ID’lerini elde etmek ve bu ID’leri e-posta adreslerine dönüştürmek için kullanılabileceğini keşfetti.
Gaia ID Nedir ve Neden Önemli?
Gaia ID, Google’ın hesap yönetimi için kullandığı benzersiz bir iç kimlik numarasıdır. Kullanıcılar, Google’ın tüm hizmetlerinde (Gmail, YouTube, Google Drive vb.) aynı Gaia ID’sini kullanır. Ancak bu ID, genellikle kullanıcıların gizliliğini korumak amacıyla halka açık değildir ve sadece Google’ın sistemleri arasında veri paylaşımı için kullanılır.
Açıklar Nasıl Keşfedildi
Brutecat, Google’ın Internal People API’sini incelerken, şirketin ağ genelindeki “engelleme” özelliğinin bulanıklaştırılmış bir Gaia ID’si ve bir görünen ad gerektirdiğini fark etti. YouTube’da canlı sohbet sırasında birini engellemeye çalışırken, hedef kişinin Gaia ID’sinin /youtube/v1/live_chat/get_item_context_menu API isteğine yanıt olarak açığa çıktığı görüldü. Bu yanıt, base64 kodlu veri içeriyordu ve bu veri, kullanıcının Gaia ID’sini ortaya çıkarıyordu.
Araştırmacılar, sohbetteki üç nokta menüsüne tıklamanın bile YouTube’un API’sine arka planda bir istek gönderdiğini ve bu sayede herhangi bir YouTube kanalının Gaia ID’sini elde edebildiklerini keşfetti. Bu ID’yi e-posta adresine dönüştürmek için ise Pixel Recorder API’sini kullandılar. Bu API, bir kaydı paylaşırken Gaia ID’sini e-posta adresine çevirebiliyordu.
Bu açık, özellikle anonim kalmaya çalışan içerik üreticileri, aktivistler ve bilgi sızdıran kişiler için büyük bir gizlilik tehdidi oluşturuyordu. Araştırmacılar, açığı Google’a 24 Eylül 2024’te bildirdi ve şirket, 9 Şubat 2025’te sorunu çözdü. Google başlangıçta bu açığın daha önce rapor edilmiş bir hata olduğunu belirterek 3.133 dolar ödül verdi. Ancak Pixel Recorder bileşeninin de dahil olduğu gösterildikten sonra ödül 10.633 dolara çıkarıldı.
Google, açıkları Gaia ID sızıntısını ve Pixel Recorder üzerinden Gaia ID’yi e-posta adresine dönüştürme hatasını düzelterek kapattı. Ayrıca, YouTube’da bir kullanıcıyı engellemenin sadece bu platformu etkilemesi ve diğer hizmetlerde bir değişiklik yapmaması sağlandı.
