Kullanıcılar dikkat! YouTube ve Google’da bulundu: 'Korkutucu'

Google, YouTube kullanıcılarının e-posta adreslerini açığa çıkaran bir güvenlik açığını düzeltti. Bu açık, potansiyel olarak büyük bir gizlilik ihlaline yol açabilirdi. Bu gizlilik ihlali, araştırmacıların çabaları sayesinde önlendi.

GOOGLE VE YOUTUBE'DA 'KORKUTUCU' AÇIK

BleepingComputer tarafından yayımlanan bir rapora dayanan Mashable haberine göre, 'korkutucu' söz güvenlik açığı, siber güvenlik araştırmacıları Brutecat ve Nathan tarafından keşfedildi. YouTube’un sahibi olan Google ise Brutecat ve Nathan tarafından keşfedilen güvenlik açıklarının giderildiğini doğruladı.

TÜM YOUTUBE HESAPLARINI ETKİLEYEBİLİRDİ

Söz konusu gizlilik ihlali, tüm YouTube hesaplarını etkileyebilecek düzeydeydi. Bildiğiniz üzere tartışmalı içerik üreticileri, araştırmacılar, muhbirler ve aktivistler gibi pek çok YouTube kullanıcısı, güvenliklerini korumak için kimliklerini gizli tutuyor. Özellikle bu tür kullanıcıların e-posta adreslerinin ifşa edilmesi, ciddi sonuçlar doğurabilirdi.

YOUTUBE AÇIĞI NASIL ORTAYA ÇIKTI?

Brutecat, YouTube'da bir kullanıcıyı engellemenin, Google’ın tüm platformlarında (Gmail, Google Drive vb.) kullanıcıları tanımlamak için kullandığı Gaia ID adlı benzersiz tanımlayıcısını açığa çıkardığını keşfetti.

Araştırmacıya göre, bir kullanıcının canlı sohbet profilindeki üç noktalı menüye tıklayarak engelleme işlemi gerçekleştirildiğinde, YouTube bir API isteği gönderiyor ve bu istek kullanıcının Gaia ID’sini ortaya çıkartıyor. YouTube hesaplarına ait benzersiz kimliklerin yalnızca Google’ın dahili sistemleri tarafından kullanılması gerektiği için bu durum bile başlı başına ciddi bir güvenlik açığı olarak nitelendiriliyor.

Ancak, Brutecat bu Gaia ID’leri elde etmeyi başarınca, bu kimliklere bağlı e-posta adreslerini de ortaya çıkarıp çıkaramayacağını görmek istedi. Nathan ile birlikte, Google’ın eski ve unutulmuş ürünlerinde bazı hatalar veya mantıksal kusurlar olabileceğini ve bu sayede Gaia ID’yi bir e-posta adresine dönüştürebileceklerini düşündüler.

Bunu test etmek için Google’ın Pixel cihazlara özel Recorder (Kayıt) uygulamasını kullandılar. Bilinçli olarak bir Gaia ID ile gizlenmiş bir kayıt dosyası paylaşarak e-posta gönderme mekanizmasını incelediler. Kullanıcının bir bildirim almasını engellemek için, kayıt dosyasının adını 2,5 milyon karakter uzunluğunda yaparak sistemin e-posta bildirim mekanizmasını bozmayı başardılar.

KULLANICIYA BİLDİRİM GİTMİYOR

Bu sayede bir kullanıcının herhangi bir bildirim almadan, kendi Gaia ID’siyle ilişkili e-posta adresinin açığa çıkmasını sağladılar.

GOOGLE AÇIĞI KAPATMAYI BAŞARDI

Neyse ki güzel bir haber var; Brutecat ve Nathan’ın araştırmaları sayesinde Google bu güvenlik açığını kapattı ve YouTube hesaplarıyla ilişkili tüm e-posta adreslerinin hackerlar tarafından ele geçirilmesini önledi.

Güvenlik açığı, Eylül 2024’te Google’a bildirildi ve 9 Şubat 2025’te tamamen giderildi. Google, BleepingComputer’a yaptığı açıklamada, herhangi bir saldırganın bu açığı aktif olarak istismar ettiğine dair herhangi bir işaret bulunmadığını da belirtti.

ARAŞTIRMACILARA 10 BİN DOLAR ÖDÜL

Araştırmacılara ise emeklerinin karşılığında 10.633 dolarlık bir ödül verildi