Una grave vulnerabilidad de YouTube expone emails de usuarios gracias a un fallo crítico en la infraestructura de YouTube. Permitió a los Hackers, revelar las direcciones de correo electrónico asociadas a canales de Youtube. Gracias a un exploit que combinaba errores en el sistema de gestión de cuentas de Google y una API obsoleta de Pixel Recorder, poniendo en riesgo las cuentas de Youtubers, empresas e incluso gobiernos.
Cómo Funcionaba el Ataque
El problema comenzaba en el sistema de moderación del chat en vivo de YouTube. Los investigadores de seguridad descubrieron que, al abrir el menú contextual (mediante el botón de tres puntos) en un mensaje del chat, se activaba una solicitud a la API /youtubei/v1/live_chat/get_item_context_menu. Esta solicitud devolvía un parámetro codificado en base64 que contenía el Gaia ID del usuario, un identificador único de cuentas de Google destinado únicamente para uso interno.
Modificando los parámetros de la API, los atacantes podían extraer los Gaia ID de cualquier canal de YouTube, incluso aquellos sin actividad reciente. Por ejemplo, en una prueba realizada en un canal automático de prueba, se reveló el Gaia ID 103261974221829892167.
El Peligro de los Gaia ID
Aunque los Gaia ID no son sensibles por sí mismos, se volvían peligrosos al combinarse con otras vulnerabilidades. Los investigadores descubrieron que la API de Pixel Recorder podía convertir estos ID en direcciones de correo electrónico. Al compartir una grabación a través de Pixel Recorder e introducir un Gaia ID filtrado, el sistema devolvía el email asociado, exponiendo la identidad del usuario.
Para evitar que las víctimas detectaran el ataque, los investigadores lograron suprimir los correos de notificación manipulando el título de la grabación. Al exceder de millones de caracteres, el sistema de notificaciones fallaba silenciosamente sin enviar notificación alguna.
Riesgos para los Usuarios
Esta vulnerabilidad representaba un grave riesgo para la privacidad, ya que la vulnerabilidad de YouTube expone emails de millones de usuarios, especialmente para creadores de contenido con mayor alcance. La exposición de sus correos electrónicos podía derivar en acoso, ataques de phishing u otras actividades maliciosas.
Además, el exploit reveló problemas más amplios en la gestión de datos de Google. Los Gaia ID se utilizan en múltiples servicios de Google, lo que significa que vulnerabilidades similares podrían afectar a plataformas como Google Maps o Play Store.
Respuesta de Google
Los investigadores que reportaron el problema a Google el 24 de septiembre de 2024. Inicialmente, Google lo clasificó como un duplicado de un error anterior y ofreció una recompensa de 3,313 $.
Sin embargo, el nuevo hallazgo y complemento con la vulnerabilidad de Pixel Recorder aumentaron la recompensa a 10,633 $.
Google confirmó que solucionó el problema parcheando la API de YouTube y el mecanismo de compartir de Pixel Recorder. Además, ahora bloquear a un usuario en YouTube solo afecta a las interacciones dentro de la plataforma, sin exponer los Gaia ID en otros servicios.
En un comunicado, Google aseguró que no hay evidencia de que estos fallos hayan sido explotadas antes de su corrección el 9 de febrero de 2025.
Lecciones Aprendidas
Este incidente subraya la importancia de realizar pruebas de seguridad rigurosas en sistemas interconectados.
En Octanio Sistemas Informáticos, ofrecemos auditorías y consultorías especializadas en ciberseguridad, adaptándonos a cada necesidad del proyecto, tanto para pequeñas, medianas y grandes empresas.
Aunque las API individuales pueden parecer seguras, su integración con otros servicios puede crear vulnerabilidades inesperadas.
Para los usuarios, es un recordatorio de la importancia de proteger su privacidad online. Desde Octanio Sistemas informáticos, recomendamos al usuario habilitar la autenticación de dos factores (2FA) y revisar periódicamente los permisos de las cuentas.
Para gigantes tecnológicos como Google, este caso pone en juego la necesidad de tomar medidas proactivas para salvaguardar los datos de los usuarios y abordar posibles vectores de abuso antes de que sean explotados.
Si quieres más información técnica de este artículo, aquí te dejamos el contenido de la investigación Leaking the email of any YouTube user for $10,000
Artículo publicado por:
