Una vulnerabilidad crítica en la infraestructura de YouTube permitió a los atacantes
exponer las direcciones de correo electrónico vinculadas a canales anónimos
mediante la combinación de fallas en el sistema de administración de cuentas de
Google y una API Pixel Recorder obsoleta.
Las fallas fueron descubiertas por los investigadores de seguridad Brutecat y
Nathan quienes encontraron que las API de YouTube y Pixel Recorder podrían
usarse para obtener los ID Gaia de Google de los usuarios y convertirlos en sus
direcciones de correo electrónico.
Vector de ataque:
El ataque se inició aprovechando el sistema de moderación del chat en vivo de
YouTube.
Los investigadores encontraron que al abrir el menú contextual (mediante el botón
de tres puntos) en el mensaje de chat en vivo de un usuario, se activaba una
solicitud de API.
Esta solicitud devolvía un parámetro codificado en base64 que contenía el ID de Gaia ofuscado del objetivo, un identificador único de cuenta de Google destinado a uso interno.
Al ajustar los parámetros de la API, los atacantes podían extraer los ID de Gaia de
cualquier canal de YouTube, incluso aquellos sin actividad en vivo.
Los investigadores descubrieron que la API Pixel Recorder de Google podía
convertir estos identificadores en direcciones de correo electrónico:
Al compartir la grabación a través de Pixel recorder e ingresar el ID de Gaia, el
sistema devolvía la dirección de correo electrónico asociado.
Para evitar que los usuarios lo detecten mediante correos de
notificación,provocaron que el sistema notificación fallara silenciosamente.
Exposición de datos:
Esta vulnerabilidad representa un grave riesgo para la privacidad de millones de
usuarios de YouTube.
Los creadores de contenido que deseaban mantener su anonimato eran
especialmente vulnerables, ya que sus direcciones de correo electrónico podían
ser expuestas sin su consentimiento.
Esto podría resultar en acoso o bullying selectivo, ataques de phishing, entre
otros…
Los ID de gaia se utilizan en varios servicios de Google,lo que podría afectar
potencialmente a otras plataformas como Google Maps o Play Store
Respuesta de Google:
Google confirmó que había mitigado el problema al aplicar parches tanto a la API
de YouTube como al mecanismo de uso compartido de Pixel Recorder.Además, el bloqueo de usuarios en YouTube ahora solo afecta las interacciones
dentro de esa plataforma y no expone los ID de Gaia en otros servicios.También aseguró a los usuarios que no había evidencia de explotación activa de
estas fallas antes de que fueran solucionadas el 9 de febrero de 2025.
Recomendaciones:
- Mantener la cuenta de YouTube separada de otras cuentas personales o
corporativas. - Cambiar la contraseña regularmente.
- Habilitar el MFA o 2FA a las cuentas.
- Limitar el número de dispositivos en los que está conectado a la cuenta.
Cybersecurity News, Leaking email, Bleeping computer
