Google, YouTube platformundaki kullanıcıların e-posta adreslerini ifşa eden bir güvenlik açığını giderdi. Bu durum, olası bir gizlilik ihlaline sebep olabilecek bir tehdidi ortadan kaldırmış oldu. Bu ihlal, bağımsız araştırmacıların çalışmaları sayesinde önlendi.
GOOGLE VE YOUTUBE’DA GÜVENLİK AÇIĞI
BleepingComputer tarafından yayımlanan bir rapora dayanan Mashable’ın haberine göre, siber güvenlik uzmanları Brutecat ve Nathan tarafından tespit edilen bu güvenlik açığı oldukça ciddi sonuçlar doğurabilecek bir tehdit olarak değerlendirildi. Google, bu araştırmacılara ait bulguların doğruluğunu onaylayarak açığın kapatıldığını duyurdu.
GİZLİLİK İHLALİ RİSKİ
Bu güvenlik açığı, tüm YouTube hesaplarını etkileyebilecek potansiyele sahipti. Tartışmalı içerik üreticileri, aktivistler ve muhbirler gibi birçok kullanıcı, güvenliklerini sağlamak adına kimliklerini gizli tutma gerekliliği taşımaktadır. E-posta adreslerinin ifşa edilmesi, bu tür bireyler için ciddi tehdit oluşturabilirdi.
AÇIĞIN ORTAYA ÇIKMASI
Brutecat, YouTube’da bir kullanıcıyı engellemenin, Google’ın diğer platformlarında (Gmail, Google Drive gibi) kullanıcıları tanımlamak için kullandığı benzersiz tanımlayıcı olan Gaia ID’yi açığa çıkardığını keşfetti.
Olayın detaylarına göre, bir kullanıcının canlı sohbet profilinde bulunan üç noktalı menüye tıklamasıyla engelleme işlemi gerçekleştirilirken, YouTube bir API isteği gönderiyor ve bu istekle birlikte kullanıcının Gaia ID’si ifşa oluyordu. Gaia ID’lerin yalnızca Google’ın dahili sistemlerinde kullanılmasının gerektiği düşünüldüğünde, buradaki boşluk ciddi bir güvenlik sorunu olarak nitelendirildi.
Brutecat ve Nathan, bu Gaia ID’leri elde ettikten sonra, e-posta adreslerini açığa çıkarma imkanı olup olmadığını araştırmaya karar verdiler. Google’ın eski ve unutulmuş ürünlerinde potansiyel hatalar ya da mantıksal açıklar bulabileceklerine inandılar ve bunun sonucunda Gaia ID’yi bir e-posta adresine dönüştürebileceklerini keşfetmeye çalıştılar.
TEST SÜRECİ
Bu yöntemi test etmek için Google’ın Pixel cihazlarına özel Recorder (Kayıt) uygulamasını kullandılar. Gaia ID ile gizlenmiş bir kayıt dosyasını paylaşarak e-posta gönderme mekanizmasını incelediler. Kullanıcının bildirim almaması için, kayıt dosyasının adını 2,5 milyon karakter uzunluğunda ayarlayarak, sistemin e-posta bildirim mekanizmasını bozdular.
BİLDİRİM GÖNDERİLMEDİ
Bu yöntem
