గూగుల్ యూట్యూబర్స్ యొక్క ఇమెయిల్ చిరునామాలను బహిర్గతం చేయగల ఒక ప్రధాన భద్రతా లోపం

గూగుల్ యొక్క ఇమెయిల్ చిరునామాలను బహిర్గతం చేసే భద్రతా లోపాన్ని పరిష్కరించింది యూట్యూబ్ వినియోగదారులు, భారీ గోప్యతా ఉల్లంఘన.

గూగుల్ – ఇది యూట్యూబ్‌ను కలిగి ఉంది – సైబర్‌ సెక్యూరిటీ పరిశోధకులు కనుగొన్న దుర్బలత్వం, వారు వెళతారు బ్రూటెకాట్ మరియు నాథన్ఒక నివేదిక ప్రకారం పరిష్కరించబడింది కంప్యూటర్‌ను నిద్రపోతోంది.

అన్ని యూట్యూబ్ ఖాతాలను ప్రభావితం చేసే గోప్యత ఉల్లంఘనను పక్కన పెడితే, వివాదాస్పద కంటెంట్ సృష్టికర్తలు, పరిశోధకులు, విజిల్‌బ్లోయర్‌లు మరియు కార్యకర్తలు వంటి చాలా మంది యూట్యూబర్‌లు వారి భద్రతను కాపాడటానికి వారి గుర్తింపులను అనామకంగా ఉంచుతారు. అటువంటి వినియోగదారుల ఇమెయిల్‌లను బహిర్గతం చేయడం భారీ మార్పులను కలిగి ఉంటుంది.

యూట్యూబ్‌లో వినియోగదారుని నిరోధించడం వల్ల ప్రతి వినియోగదారుకు దాని అన్ని ప్లాట్‌ఫారమ్‌లలో (Gmail, Google డ్రైవ్, మొదలైనవి) GAIA ID అని పిలువబడే ఒక ప్రత్యేకమైన అంతర్గత ఐడెంటిఫైయర్ ఉపయోగించినట్లు బ్రూటెకాట్ కనుగొన్నారు. బ్లాక్ ఫంక్షన్‌ను యాక్సెస్ చేయడానికి యూజర్ యొక్క లైవ్ చాట్ ప్రొఫైల్ యొక్క మూడు డాట్ చిహ్నాన్ని క్లిక్ చేయడం వారి గియా ఐడిని వెల్లడించిన API అభ్యర్థనను ప్రేరేపించిందని వారు కనుగొన్నారు.

ఇది ఇప్పటికే భద్రతా లోపం, ఎందుకంటే ఇది యూట్యూబ్ ఖాతాల కోసం ప్రత్యేకమైన ఐడెంటిఫైయర్‌లను బహిర్గతం చేసింది, ఇది అంతర్గతంగా మాత్రమే ఉపయోగించబడుతుంది. కానీ ఇప్పుడు బ్రూటెకాట్ వినియోగదారుల గియా ఐడిలను తిరిగి పొందగలిగింది, వారు ప్రతి ఐడితో అనుబంధించబడిన ఇమెయిల్ చిరునామాలను బహిర్గతం చేయగలరో లేదో చూడటానికి వారు బయలుదేరారు.

నాథన్ సహాయంతో, ఇద్దరు పరిశోధకులు “పాత మరచిపోయిన గూగుల్ ఉత్పత్తులతో వారు దీన్ని చేయగలరని ised హించారు, ఎందుకంటే వారు ఒక ఇమెయిల్‌కు గియా ఐడిని పరిష్కరించడానికి కొన్ని బగ్ లేదా లాజిక్ లోపం కలిగి ఉంటారు.” పిక్సెల్ పరికరాల కోసం గూగుల్ యొక్క రికార్డర్ అనువర్తనాన్ని ఉపయోగించి, వారు అస్పష్టమైన గియా ఐడితో రికార్డింగ్‌ను భాగస్వామ్యం చేయడాన్ని పరీక్షించారు మరియు ఫైల్‌ను 2.5 మిలియన్ లేఖ పేరుతో పేరు మార్చడం ద్వారా వినియోగదారుని ఇమెయిల్ నోటిఫికేషన్‌ను స్వీకరించకుండా నిరోధించారు, ఇది చాలా పొడవుగా ఉన్నందున ఇమెయిల్ నోటిఫికేషన్ సిస్టమ్‌ను విచ్ఛిన్నం చేసింది.

ఇప్పుడు ot హాత్మక బాధితుడికి తెలియజేయబడనందున, పరిశోధకులు ఫైల్ షేరింగ్ అభ్యర్థనను GAIA ID లతో పంపారు, ID ని ఇమెయిల్ చిరునామాగా మార్చారు.

బ్రూటెకాట్ మరియు నాథన్ యొక్క మోసపూరితంగా, గూగుల్ ఆ దుర్బలత్వాన్ని లాక్ చేయగలిగింది మరియు హ్యాకర్లు వారి యూట్యూబ్ ఖాతాలతో అనుబంధించబడిన ప్రతి ఒక్కరి ఇమెయిల్ చిరునామాను యాక్సెస్ చేయకుండా నిరోధించగలిగింది. సెప్టెంబర్ 2024 లో దుర్బలత్వం గూగుల్‌కు వెల్లడించబడింది మరియు చివరకు ఫిబ్రవరి 9, 2025 న పరిష్కరించబడింది. ఇది సంభావ్య బహిర్గతం కోసం చాలా కాలం, కానీ గూగుల్ బ్లీపింగ్‌కంప్యూటర్‌కు ధృవీకరించింది, “ఏ దాడి చేసేవారు ఎవరైనా లోపాలను చురుకుగా దోపిడీ చేశారని సంకేతాలు లేవు.”

వారి పనికి బదులుగా, పరిశోధకులు చల్లని, 6 10,633 పొందారు. PHEW, సంక్షోభం నివారించబడింది.