اكتشف باحث أمن الشبكات Brutecat اثنتين من نقاط الضعف الأمنية في موقع فيديو YouTube التابع لشركة Google. وعلى الرغم من أن جوجل تعد بحماية خصوصية المستخدم، إلا أنه طالما أن الثغرات الأمنية متصلة ببعضها البعض بشكل متسلسل، فمن الممكن الحصول مباشرة على عنوان البريد الإلكتروني الحقيقي في Gmail الخاص بمنشئ قناة YouTube.
باستخدام عنوان البريد الإلكتروني في Gmail، يمكنك أيضًا انتحال شخصية Google أو YouTube لمنشئي التصيد، مما سيؤدي إلى المزيد من المشكلات الأمنية، مثل سرقة حسابات قنوات YouTube الكبيرة ونشر مواقع التصيد الاحتيالي.
في البداية، اكتشف الباحثون الذين قاموا بتحليل واجهة برمجة تطبيقات People الخاصة بشركة Google أن الميزة التي تسمح بحظر مستخدمي YouTube تعتمد على معرفات GaiaIDs الغامضة، وهو نظام إدارة المعرفات لجميع منتجات Google.
وفقًا للتعليمات الموجودة على صفحة دعم Google، فإن حظر شخص ما على YouTube سيمتد تلقائيًا إلى منتجات Google الأخرى، مما يعني أنه عندما يقوم المستخدم بعملية حظر، فلن يتم حظر حساب YouTube الخاص بالشخص الآخر، بل GaiaID.
لقد حدثت عدة أخطاء في تحليل GaiaID في عناوين البريد الإلكتروني في الماضي، ويعتقد الباحثون أن هذه الثغرة الأمنية قد لا تزال موجودة في بعض منتجات Google القديمة والأقل شهرة.
أثبت التحقق اللاحق أن الباحثين كانوا على حق. وجد الباحثون رابطًا في الإصدار عبر الإنترنت من GooglePixelRecorder (مسجل الصوت الذي يأتي مع أجهزة Google Pixel). من خلال مشاركة تسجيل إصدار الويب PixelRecorder مع GaiaID والتحقق من طلب الويب، تم كشف عنوان البريد الإلكتروني للهدف.
عادةً، سيؤدي إجراء مثل هذه العملية إلى إرسال إشعار مشاركة إلى المستخدم المستهدف (مثل إشعار مشاركة التسجيل).لكن الباحثين استخدموا برنامج بايثون لتعيين اسم ملف تسجيل طويل للغاية (كان اسم الملف يبلغ طوله 2.5 مليون حرف)، فإن اسم الملف هذا يجعل Google لا يرسل إشعارات المشاركة إلى المستخدمين المستهدفين.
وبعد التأكد من إمكانية استغلال الثغرة الأمنية، قام الباحث بإبلاغ جوجل عن الثغرة الأمنية، وهو ما أكدته جوجل لاحقًا. خصصت جوجل مكافأة لكشف الثغرة الأمنية قدرها 3133 دولارًا أمريكيًا للباحث. ومع ذلك، بعد دراسة متأنية، شعرت جوجل أنه من المحتمل أن يتم استغلال الثغرة الأمنية، لذلك أعادت تقييم مستوى الخطر ومنحت مبلغًا إضافيًا قدره 7500 دولار أمريكي، مما يعني أن المكافأة التراكمية للباحث كانت 10633 دولارًا أمريكيًا.
قامت Google حاليًا بإصلاح هذه الثغرة الأمنية. وبطبيعة الحال، إذا لم يتم إصلاحها، فلن يكشف الباحثون عن تفاصيل الثغرة الأمنية المذكورة أعلاه.