YouTube kullanıcı e-postalarını sızdıran güvenlik açığı bulundu, $10.000 ödül alındı

 (brutecat.com)
1 puan yazan GN⁺ 2025-02-13 | 1 yorum | WhatsApp'ta paylaş
  • Google'ın dahili People API belgelerini incelerken, kullanıcı engelleme işlemlerinde 'profil kimliği' olarak adlandırılan 'obfuscated Gaia ID' ile 'takma ad'ın kullanıldığı fark edildi
  • YouTube'da başka bir kullanıcı engellendiğinde, ilgili kullanıcının Gaia ID'sinin https://myaccount.google.com/blocklist üzerinde görünüp açığa çıkabildiği doğrulandı
  • Bu Gaia ID'lerin Google hesap tanımlayıcısı olduğu ve bunlar üzerinden kullanıcının e-posta adresinin öğrenilebilme ihtimalinin ortaya çıktığı belirtildi

Tüm YouTube kanallarına genişletilebilmesi

  • Yalnızca canlı sohbet kullanıcılarının Gaia ID'sinin görülebilmesiyle sınırlı kalmayıp, bu bilginin tüm YouTube kanalları için elde edilip edilemeyeceği araştırıldı
  • YouTube'da bir kanalın 'Daha fazla' menüsüne tıklandığında belirli bir isteğin oluştuğu ve bu isteğin kanalın Gaia ID'sini içerdiği keşfedildi
  • Bu istekler aracılığıyla kanalın Gaia ID'sinin elde edilebildiği doğrulandı

Pixel Recorder ile e-posta adresi elde etme

  • Pixel Recorder adlı Google ürünü üzerinden Gaia ID'nin e-posta adresine dönüştürülüp dönüştürülemeyeceği test edildi
  • Bir kayıt paylaşılırken alıcının Gaia ID'si girildiğinde, karşılık gelen e-posta adresinin döndürüldüğü doğrulandı
  • Böylece Gaia ID'nin e-posta adresine dönüştürülebildiği kanıtlandı

Hedefe bildirim gitmeden e-posta adresi elde etme

  • Kayıt paylaşılırken hedefe bildirim e-postası gönderilmesi bir sorun oluşturuyordu
  • Kayıt başlığını çok uzun ayarlayarak bildirim e-postasının gönderilmesini engelleyen bir baypas yöntemi bulundu

Tam saldırı zincirinin kurulumu

  1. YouTube'un /get_item_context_menu endpoint'i üzerinden kanalın Gaia ID'si elde edildi
  2. Pixel Recorder kullanılarak çok uzun başlıklı bir kayıt hedefle paylaşıldı ve Gaia ID e-posta adresine dönüştürüldü
  3. İzleri silmek için hedef, paylaşım listesinden kaldırıldı

Bildirim ve ödül

  • 15 Eylül 2024: Güvenlik açığı Google'a bildirildi
  • 16 Eylül 2024: Google raporu kabul etti ve 'Nice catch!' geri bildirimi verildi
  • 5 Kasım 2024: Google güvenlik paneli $3,133 ödül verilmesine karar verdi
  • 12 Aralık 2024: Ek olarak $7,500 ödül alındı ve toplam ödül $10,633'e ulaştı
  • 12 Şubat 2025: Güvenlik açığı kamuya açıklandı

İlgili okumalar

1 yorum

 
GN⁺ 2025-02-13
Hacker News yorumu

  • Bu başlık bana kafa karıştırıcı geldi. Makalenin sonuna kadar okumayanlar için: sızdırılan e-postalar onlara hiçbir şeye mal olmadı ve 10.000 dolarlık bir bug bounty aldılar

  • Bu başlıktaki her 3. mesajda bir Google'ın bu hata için az ödediğine dair bir şey var. Zafiyet değerlendirmesiyle ilgili bazı temel noktalar:

    • Sunucu tarafı zafiyetlerin değeri düşüktür. Çünkü satıcılar bu alanda rekabet etmez
    • Android/Chrome gibi tam zincir hatalar yüz binlerce dolara alınıp satılır. Çünkü Google yerleşik bir gri pazarla rekabet eder
    • Bounty ile gri pazarı karşılaştırmak elma ile armudu karşılaştırmak gibidir. Google güvenilir bir exploit'e ihtiyaç duymadığından gri pazardan çok daha az öder
    • Tehdit aktörleri, mevcut iş süreçlerine uyan zafiyetleri satın alır. Yeni bir zafiyetle neler yapılabileceğine dair tahminde bulunmazlar

  • Bounty ödemesi genelde hatanın ne kadar yaratıcı veya ilginç olduğunun bir değerlendirmesi değildir. Ancak burada sunucu taraflı bir web hatası için 10.000 dolar çok yüksek geliyor

  • Bu tür hataları bulan kişilerin iş stratejisi çok sayıda hata bulmaktır. iOS exploit geliştirmede olduğu gibi tek bir exploit'e aylar yatırmak değildir

  • Bu, yakın dönemde kariyerimde yaptığım zafiyet araştırmalarına benziyor. Ama bunu profesyonel olarak yapan insanlar varsa onların görüşlerini duymak isterim

  • Sorumlu açıklama, bunun motivasyonu ve ödülü hakkında çok konuşuluyor. Ancak merkezi ve kalıcı kimliğe karşı bir veri noktası olarak bu hikâyeden söz eden yok

  • Yalnızca Real Identity™ ile tek bağlantı üzerinden çalıştığını iddia eden bir hizmet gördüğüm her seferinde, satıcıların kullanıcıları gerçekten korumakla ilgilenmediği bana tekrar hatırlatılıyor

  • YouTube'da etkileşime girdiğiniz kişileri anında ifşa etmeye birkaç adım daha yaklaşılabildiğini hayal edin. Bu, bu hatanın gerçek etkisi

  • Bu hatanın düzeltilmiş olması güzel ama bu tür hataların yakında ortadan kalkacakmış gibi görünmüyor. Satıcıların ve büyük şirketlerin bu tür tasarımların tehlikeli olduğunu fark etmesini sağlamak için ne yapmak gerekir?

  • Harika bir keşif! Böyle tanınmış bir serviste zafiyet bulmak özgeçmişte çok iyi durur. Tebrikler

  • "Saldırı zincirinde gereken karmaşıklık nedeniyle temel miktardan 1 seviye aşağı ayarlama uygulandı" - bu normal mi?

  • Sadece birkaç zafiyet programına katıldım ama çoğunda güvenlik açığı çok basitse ödül daha düşük oluyor

  • Bir yorumcu zaten bounty miktarının kara borsa değeriyle nasıl ilişkili olduğunu açıkladı. Yine de artık birçok kişi Google'ın güvenliği yeterince ciddiye almadığını düşünebilir

  • Güvenlik amacıyla mümkün olduğunca az ödeme yapılmalı. Daha fazla ödemek hata bulma teşvikini artırır ve kara borsayı da büyütebilir

  • GTO stratejisi, kara borsayı mümkün olan en az parayla engellemektir

  • Google'da araştırma konusu arıyordum ve Internal People API (Staging) keşif belgelerini inceliyordum. Bunun herkese açık olması gerekiyor mu?

  • Keşke YouTube kanal sahiplerine e-posta göndermenin bir yolu olsaydı. Çoğunun e-posta iletişim bilgisi yok ve sponsorluk ya da başka işler için ulaşmak zor

  • Google'ın 90 gün içinde düzeltilmeyen güvenlik açıklarını ifşa edip etmediğini merak ediyorum. Bu durumda 147 günde düzeltilmiş

  • E-posta sisteminin gönderilmesini engellemek ayrı bir sorun. Google gibi büyük bir şirket pek çok ürün geliştirmiş olsa da, "güvenlik" sahte gibi hissettiriyor. Kodun her satırı potansiyel bir zafiyet olabilir