- En examinant la documentation interne de l’API People de Google, il a été constaté que, lors du blocage d’un utilisateur, Google utilise un « ID de profil », appelé « Gaia ID obscurci », ainsi qu’un « nom alternatif »
- Il a été vérifié que, lorsqu’on bloque un autre utilisateur sur YouTube, le Gaia ID de cet utilisateur peut apparaître sur
https://myaccount.google.com/blocklist et donc être exposé
- Ces Gaia ID étant des identifiants de compte Google, l’hypothèse a été soulevée qu’ils pourraient permettre de retrouver l’adresse e-mail d’un utilisateur
Extension potentielle à toutes les chaînes YouTube
- Il a été étudié non seulement s’il était possible de voir le Gaia ID des utilisateurs du chat en direct, mais aussi d’obtenir cette information pour toutes les chaînes YouTube
- Il a été découvert qu’une requête spécifique est envoyée lorsqu’on clique sur le menu « Plus » d’une chaîne sur YouTube, et que cette requête contient le Gaia ID de la chaîne
- Il a été confirmé qu’il était possible d’obtenir le Gaia ID d’une chaîne via ces requêtes
Obtention d’adresses e-mail via Pixel Recorder
- Un test a été mené pour vérifier si un produit Google appelé Pixel Recorder permettait de convertir un Gaia ID en adresse e-mail
- Lors du partage d’un enregistrement, il a été constaté qu’en saisissant le Gaia ID du destinataire, le service renvoyait son adresse e-mail
- Il a ainsi été confirmé qu’un Gaia ID pouvait être converti en adresse e-mail
Obtention d’adresses e-mail sans notification à la cible
- Un problème subsistait : lors du partage d’un enregistrement, un e-mail de notification était envoyé à la cible
- Une méthode de contournement a été trouvée en définissant un titre d’enregistrement extrêmement long afin d’empêcher l’envoi de l’e-mail de notification
Chaîne d’attaque complète
- Obtenir le Gaia ID d’une chaîne via l’endpoint YouTube
/get_item_context_menu
- Utiliser Pixel Recorder pour partager un enregistrement au titre extrêmement long avec la cible afin de convertir le Gaia ID en adresse e-mail
- Retirer ensuite la cible de la liste de partage pour effacer les traces
Signalement et récompense
- 15 septembre 2024 : la faille a été signalée à Google
- 16 septembre 2024 : Google a accusé réception du signalement avec le retour « Nice catch! »
- 5 novembre 2024 : le panel sécurité de Google a décidé d’accorder une récompense de 3 133 $
- 12 décembre 2024 : une récompense supplémentaire de 7 500 $ a été versée, portant le total à 10 633 $
- 12 février 2025 : la faille a été rendue publique
1 commentaires
Avis Hacker News
Ce titre m’a semblé trompeur. Pour ceux qui ne liront pas l’article jusqu’au bout : les e-mails divulgués ne leur ont rien coûté, et ils ont reçu une prime de bug bounty de 10 000 dollars
Un message sur trois dans ce fil dit que Google a trop peu payé pour ce bug. Quelques bases sur l’évaluation des vulnérabilités :
Le versement d’une bounty n’est généralement pas une évaluation de la créativité ou de l’intérêt du bug. Cela dit, ici, 10 000 dollars semblent très élevés pour un bug web côté serveur
La stratégie économique des personnes qui trouvent ce type de bugs consiste à en trouver beaucoup. Ce n’est pas comme le développement d’exploits iOS, où l’on investit des mois sur un seul exploit
Cela ressemble aux recherches sur les vulnérabilités que j’ai menées récemment dans ma carrière. Mais s’il y a ici des gens qui font cela professionnellement, j’aimerais avoir leur avis
On parle beaucoup de divulgation responsable, de ses motivations et de ses récompenses. Mais il n’y a pas de récit servant de contre-exemple face à l’identité permanente centralisée
Chaque fois que je vois un service prétendre ne fonctionner qu’avec un lien unique vers la Real Identity™, cela me rappelle que les fournisseurs ne se soucient pas réellement de protéger les utilisateurs
Imaginez qu’on puisse se rapprocher de quelques étapes seulement du fait de démasquer instantanément quelqu’un avec qui on interagit sur YouTube. C’est cela, le véritable impact de ce bug
C’est bien que ce bug ait été corrigé, mais je doute que ce genre de bug disparaisse bientôt. Que faut-il faire pour amener les fournisseurs et les grandes entreprises à comprendre que ce type de conception est dangereux ?
Excellente découverte ! Trouver une vulnérabilité sur un service aussi connu fera très bien sur un CV. Félicitations
« Ajustement à la baisse d’un niveau par rapport au montant de base en raison de la complexité requise pour la chaîne d’attaque » — est-ce courant ?
Je n’ai participé qu’à quelques programmes de vulnérabilités, mais dans la plupart des cas, ils récompensent moins quand la faille de sécurité est très simple
Un commentateur a déjà expliqué comment le montant de la bounty se rapporte à la valeur sur le marché noir. Maintenant, beaucoup de gens pourraient penser que Google n’accorde pas assez d’importance à la sécurité
Pour des raisons de sécurité, il faut payer aussi peu que possible. Payer davantage augmente l’incitation à chercher des bugs, et pourrait aussi faire croître le marché noir
La stratégie GTO consiste à bloquer le marché noir avec le moins d’argent possible
Je cherchais des cibles de recherche chez Google et j’examinais la documentation découverte pour Internal People API (Staging). Est-ce que cela devrait être exposé publiquement ?
J’aimerais qu’il existe un moyen d’envoyer un e-mail aux propriétaires de chaînes YouTube. La plupart n’ont pas de contact e-mail, et il est difficile de les joindre pour des sponsorings ou d’autres accords
Je me demande si Google publie les vulnérabilités de sécurité lorsqu’elles ne sont pas corrigées dans les 90 jours. Dans ce cas, la correction a pris 147 jours
Empêcher le système d’e-mail d’envoyer quoi que ce soit est un problème supplémentaire. Une grande entreprise comme Google a développé beaucoup de produits, mais la « sécurité » semble factice. Chaque ligne de code peut devenir une vulnérabilité potentielle