O Google corrigiu vulnerabilidades que comprometiam a privacidade de usuários do YouTube ao permitir a exposição de seus endereços de e-mail. A falha foi descoberta pelos pesquisadores de segurança Brutecat e Nathan, que identificaram um problema nas APIs do YouTube e do Pixel Recorder. Esses sistemas podiam ser manipulados para acessar IDs do Google Gaia e convertê-los nos e-mails associados às contas.
Como a vulnerabilidade foi explorada
O ID Gaia é um identificador interno que o Google utiliza para gerenciar contas em serviços como Gmail, Drive e YouTube. Embora não deva ser acessível ao público, os pesquisadores perceberam que o YouTube expunha esse ID ao tentar bloquear usuários em chats ao vivo. O ID aparecia em respostas da API do YouTube, permitindo que qualquer pessoa com conhecimento técnico pudesse acessá-lo.
Após obter o ID Gaia, os pesquisadores descobriram que a API do Pixel Recorder possibilitava sua conversão direta para um endereço de e-mail. Isso tornava possível identificar os donos de canais anônimos e comprometer sua privacidade.
Notícias Relacionadas
Falha crítica
Cloudflare R2: erro na rotação de credenciais causou falha global
O Cloudflare R2 sofreu uma interrupção global de 1 hora e 7 minutos devido a um erro na rotação de credenciais. A falha impactou gravação e leitura, afetando serviços dependentes. A Cloudflare implementou medidas para evitar novos incidentes.
Tecnologia
Xiaomi: Desvendando as falhas de hardware persistentes em 6 modelos
A Xiaomi, conhecida por seus dispositivos acessíveis, enfrenta críticas devido a falhas de hardware persistentes em alguns modelos. Este artigo explora 6 telefones Xiaomi com problemas crônicos, suas causas e o impacto nos usuários.
A vulnerabilidade foi reportada ao Google em setembro de 2024. Inicialmente, a empresa ofereceu uma recompensa de US$ 3.133 (aproximadamente R$ 18.000, com base na cotação de R$ 5,77 por dólar em 12 de fevereiro de 2025). No entanto, após os pesquisadores demonstrarem que o Pixel Recorder também estava envolvido na falha, o Google elevou a recompensa para US$ 10.633 (cerca de R$ 61.000).
A correção foi implementada em 9 de fevereiro de 2025, e o Google afirmou que não há indícios de que a falha tenha sido explorada antes da correção. Como medida adicional, a empresa ajustou as permissões das APIs para evitar futuras exposições de IDs sensíveis.
A descoberta dessa falha ressalta a importância de auditorias regulares de segurança para evitar a exposição de dados sensíveis. Pesquisadores de segurança desempenham um papel fundamental na proteção da privacidade dos usuários, e empresas de tecnologia devem reforçar seus programas de recompensas para incentivar a identificação precoce de vulnerabilidades críticas.
