CHRISTIAN WIEDIGER / UNSPLASH - Arquivo
MADRI 12 fev. (Portaltic/EP) -
O Google corrigiu duas vulnerabilidades em seus serviços que possibilitavam a obtenção dos endereços de e-mail das contas do YouTube, incluindo as de usuários anônimos.
O identificador Gaia (ID) é o sistema que gerencia os IDs exclusivos de cada usuário para todos os produtos do Google, ou seja, é o mesmo no Gmail, Drive, YouTube e outros serviços. É um dado que a empresa compartilha com seus sistemas internamente, no entanto, há meses ele permite conhecer os e-mails associados aos usuários.
O processo começa no YouTube, de onde é possível bloquear um usuário e tornar esse bloqueio ativo em vários serviços do Google, algo possível a partir de um chat ao vivo ou na caixa de entrada de notificações.
Nesse caso, o pesquisador conhecido como Brutecat, usando uma API do YouTube, acessou o Gaia ID ofuscado de um usuário que ele havia bloqueado no chat ao vivo em um fluxo aleatório, identificado junto com seu canal do YouTube.
Juntamente com Nathan, outro pesquisador, ele estendeu a análise para as APIs dos serviços do Google que poderiam ter bugs não corrigidos, por exemplo, aqueles que haviam sido descontinuados, e tornou possível descobrir o endereço de e-mail de uma pessoa a partir de um Gaia ID.
Assim, eles criaram o Pixel Recorder, que armazena backups de gravações na Web em https://recorder.google.com, com uma API da Web que atendia à sua finalidade.
Aqui, Nathan fez uma gravação de seu dispositivo Pixel e a sincronizou com sua conta do Google para que ela aparecesse no site. Quando eles tentaram compartilhar essa gravação com um e-mail que tinham como teste, a API retornou o e-mail vinculado ao ID de Gaia.
Os dois decidiram, então, vincular esses dois erros e, a partir da API da Web do Recorder, inserir o ID Gaia de um usuário previamente bloqueado no YouTube, o que mostrou o e-mail dessa pessoa.
Essa ação, no entanto, envia uma notificação para o e-mail da vítima, embora os pesquisadores tenham resolvido esse problema compartilhando a gravação com um nome extremamente longo (em seu teste, 2,5 milhões de letras).
Esses bugs foram corrigidos em fevereiro, embora tenham sido identificados em setembro do ano passado. O Google recompensou os pesquisadores com US$ 10.633 (cerca de 10.258 euros pela taxa de câmbio).
Esta notícia foi traduzida por um tradutor automático