Google corrige dos vulnerabilidades que desvelaban el email vinculado a usuarios de YouTube

Google ha corregido dos vulnerabilidades presentes en sus servicios que permitían conseguir la dirección de correo electrónico de cuentas de YouTube, incluso de usuarios anónimos.

El identificador (ID) de Gaia es el sistema que administra las ID únicas de cada usuario para todos los productos de Google, es decir, es la misma en Gmail, Drive, YouTube y otros servicios. Es un dato que la compañía comparte con sus sistemas de manera interna, sin embargo, durante meses ha permitido conocer los correos electrónicos asociados a los usuarios.

El proceso comienza en YouTube, desde donde se puede bloquear a un usuario y hacer que este bloqueo esté activo en varios de los servicios de Google, algo posible desde un chat en vivo o en la bandeja de entrada de notificaciones.

En este caso, el investigador conocido como Brutecat, utilizando una API de YouTube, accedió al ID de Gaia ofuscado de un usuario que había bloqueado desde el chat en vivo en un 'streaming' cualquiera, identificado junto con su canal de YouTube.

Junto con Nathan, otro investigador, amplió el análisis a las API de servicios de Google que pudieran tener algún error no corregido, por ejemplo, los que habían quedado obsoletos, y permitir averiguar el 'email' de una persona a partir de un ID de Gaia.

Así, llegaron a la Grabadora de Pixel, que almacena las copias de seguridad de las grabaciones en la web https://recorder.google.com, con una API web que servía para su propósito.

Aquí, Nathan realizó una grabación desde su dispositivo Pixel y la sincronizó en su cuenta de Google para que apareciera en dicha web. Al intentar compartir esta grabación con un correo que tenían de prueba, la API devolvió el correo electrónico vinculado con el ID de Gaia.

Entonces, ambos decidieron vincular estos dos errores y desde la API web de la Grabadora, introducir el ID de Gaia de un usuario previamente bloqueado en YouTube, lo que mostró el correo electrónico de esta persona.

Esta acción, sin embargo, envía una notificación al correo de la víctima, si bien los investigadores resolvieron este problema al compartir la grabación con un nombre extremadamente largo (en su prueba, de 2,5 millones de letras).

Estos fallos se han parcheado en febrero, aunque se identificaron en septiembre d año pasado. Google ha recompensado a los investigadores con 10.633 dólares (unos 10.258 euros al cambio).