Uzmanlar, YouTube hesabından gelen herhangi bir e-postanın Google'dan 'nispeten basit bir açık' ile çekilebileceği konusunda uyardı.
CyberNews'in haberine göre Brutecat isimli bir araştırmacı, Google ürünlerindeki çeşitli güvenlik açıklarından yararlanarak herhangi bir YouTube kullanıcısının e-posta adresine erişmeyi başardı.
Google bu açığı kapattı, ancak bu kullanıcıların gizliliği için ciddi bir risk oluşturuyor ve onları kimlik avı saldırılarına maruz bırakabilir. YouTube her gün yaklaşık 1 milyar saat izleniyor, yaklaşık 2,5 milyar kullanıcı ve 51 milyon kanal var - bu yüzden gizlilik önemlidir.
Ödül Avcıları
Güvenlik açıkları, araştırmacının "Dahili Kişiler API'sini (hazırlık) incelerken" ve "ilginç bir şey" fark etmesiyle keşfedildi . YouTube'da birini engellediğinizde, Google hesap tanımlayıcısını sızdırabileceğinizi buldular.
Araştırmacı, üç nokta içerik menüsüne tıklandığında GAIA kimliğinin sunucu yanıtına dahil edildiğini keşfetti; bu sayede kanalı engellemeye gerek kalmadı; yani bu durum tüm YouTube hesaplarına -dört milyarının hepsine- iletilebilirdi.
Daha sonra, eski Google ürünlerine bakarak, Pixel Recorder'ın, ifşa edilen GAIA kimliğini bir e-posta adresine dönüştürmelerine olanak tanıyan bir hata içerdiğini keşfettiler.
Sonuç olarak kullanıcılara şu öneride bulunuldu:
Güvenliğiniz için her hesabınız için güçlü ve güvenli parolalar oluşturmalı ve bunları hatırlayabildiğiniz sıklıkta değiştirmelisiniz.