Menemukan kerentanan kebocoran email pengguna YouTube dan menerima hadiah $10,000

 (brutecat.com)
1 poin oleh GN⁺ 2025-02-13 | 1 komentar | Bagikan ke WhatsApp
  • Saat menelusuri dokumentasi internal People API milik Google, ditemukan bahwa ketika memblokir pengguna, sistem menggunakan 'Gaia ID yang diobfusikasi' yang disebut 'profile ID' serta 'nama alternatif'
  • Dikonfirmasi bahwa ketika memblokir pengguna lain di YouTube, Gaia ID pengguna tersebut dapat muncul di https://myaccount.google.com/blocklist sehingga berpotensi terekspos
  • Gaia ID ini merupakan pengenal akun Google, dan muncul kemungkinan untuk mengetahui alamat email pengguna melaluinya

Dapat diperluas ke semua channel YouTube

  • Selain dapat memeriksa Gaia ID pengguna live chat, juga diselidiki apakah informasi ini bisa diperoleh untuk semua channel YouTube
  • Ditemukan bahwa saat mengklik menu 'Lainnya' pada sebuah channel di YouTube, permintaan tertentu dikirim, dan permintaan ini menyertakan Gaia ID channel tersebut
  • Dikonfirmasi bahwa Gaia ID channel dapat diperoleh melalui permintaan ini

Mendapatkan alamat email melalui Pixel Recorder

  • Diuji apakah Gaia ID dapat diubah menjadi alamat email melalui produk Google bernama Pixel Recorder
  • Saat membagikan rekaman, dikonfirmasi bahwa jika memasukkan Gaia ID penerima, sistem mengembalikan alamat email yang sesuai
  • Dengan demikian, dipastikan bahwa Gaia ID dapat dikonversi menjadi alamat email

Mendapatkan alamat email tanpa memberi tahu target

  • Ada masalah karena email notifikasi dikirim ke target saat rekaman dibagikan
  • Ditemukan cara melewati hal ini dengan membuat judul rekaman sangat panjang sehingga email notifikasi tidak terkirim

Rangkaian serangan lengkap

  1. Memperoleh Gaia ID channel melalui endpoint /get_item_context_menu milik YouTube
  2. Menggunakan Pixel Recorder untuk membagikan rekaman dengan judul yang sangat panjang kepada target sehingga Gaia ID dapat dikonversi menjadi alamat email
  3. Menghapus target dari daftar berbagi untuk menghilangkan jejak

Pelaporan dan hadiah

  • 15 September 2024: Kerentanan dilaporkan ke Google
  • 16 September 2024: Google menerima laporan tersebut dan memberi umpan balik 'Nice catch!'
  • 5 November 2024: Panel keamanan Google menetapkan hadiah sebesar $3,133
  • 12 Desember 2024: Tambahan hadiah $7,500 diberikan, sehingga total hadiah menjadi $10,633
  • 12 Februari 2025: Kerentanan dipublikasikan

Bacaan terkait

1 komentar

 
GN⁺ 2025-02-13
Komentar Hacker News

  • Judul ini terasa membingungkan. Bagi yang tidak membaca sampai akhir artikel: email yang bocor itu tidak menimbulkan biaya apa pun bagi mereka, dan mereka menerima bug bounty sebesar $10.000

  • Setiap kira-kira pesan ke-3 di thread ini membahas bahwa Google membayar terlalu sedikit untuk bug ini. Beberapa hal dasar tentang penilaian kerentanan:

    • Penilaian untuk kerentanan sisi server rendah. Karena para vendor tidak saling bersaing
    • Bug rantai penuh seperti Android/Chrome diperdagangkan hingga ratusan ribu dolar. Karena Google bersaing dengan pasar abu-abu yang sudah mapan
    • Membandingkan bounty dengan pasar abu-abu itu seperti membandingkan apel dan jeruk. Google membayar jauh lebih sedikit daripada pasar abu-abu karena mereka tidak membutuhkan exploit yang andal
    • Pelaku ancaman membeli kerentanan yang cocok dengan proses bisnis yang sudah ada. Mereka tidak berspekulasi tentang apa yang bisa dilakukan dengan kerentanan baru

  • Pembayaran bounty umumnya bukan penilaian atas kreativitas atau seberapa menarik sebuah bug. Namun, di sini $10.000 terasa sangat tinggi untuk bug web sisi server

  • Strategi bisnis orang-orang yang mencari bug seperti ini adalah menemukan banyak bug. Bukan menginvestasikan berbulan-bulan pada satu exploit seperti dalam pengembangan exploit iOS

  • Ini mirip dengan riset kerentanan yang saya lakukan dalam karier saya belakangan ini. Tapi jika ada orang yang melakukan ini secara profesional, saya ingin mendengar pendapat mereka

  • Banyak pembahasan tentang responsible disclosure, motivasinya, dan imbalannya. Namun tidak ada cerita sebagai data tandingan terhadap identitas permanen yang terpusat

  • Setiap kali saya melihat layanan yang mengklaim hanya bekerja dengan satu tautan ke Real Identity™, saya kembali diingatkan bahwa para vendor sebenarnya tidak tertarik melindungi pengguna

  • Bayangkan bisa selangkah lebih dekat untuk langsung membongkar orang yang berinteraksi di YouTube. Itulah dampak nyata dari bug ini

  • Bagus bahwa bug ini telah diperbaiki, tetapi jenis bug seperti ini sepertinya tidak akan hilang dalam waktu dekat. Apa yang perlu dilakukan agar vendor dan perusahaan besar menyadari bahwa desain seperti ini berbahaya?

  • Penemuan yang hebat! Menemukan kerentanan di layanan seterkenal ini akan terlihat sangat bagus di CV. Selamat

  • "Penyesuaian turun satu tingkat dari jumlah dasar diterapkan karena kompleksitas yang diperlukan dalam rantai serangan" - apakah ini umum?

  • Saya hanya pernah ikut beberapa program kerentanan, tetapi kebanyakan memberi imbalan lebih kecil ketika cacat keamanan itu sangat sederhana

  • Seorang komentator sudah menjelaskan bagaimana jumlah bounty berkaitan dengan nilai di pasar gelap. Sekarang banyak orang mungkin berpikir bahwa Google tidak cukup menganggap serius keamanan

  • Untuk tujuan keamanan, mereka harus membayar sesedikit mungkin. Jika membayar lebih banyak, insentif untuk mencari bug akan meningkat, dan pasar gelap juga bisa tumbuh

  • Strategi GTO adalah menutup pasar gelap dengan uang sesedikit mungkin

  • Saya sedang mencari target riset di Google dan menelusuri dokumentasi penemuan Internal People API (Staging). Apakah ini seharusnya dipublikasikan?

  • Saya berharap ada cara untuk mengirim email kepada pemilik channel YouTube. Kebanyakan tidak memiliki kontak email, dan sulit menghubungi mereka untuk sponsorship atau kesepakatan lain

  • Saya penasaran apakah Google mengungkap kerentanan keamanan jika tidak diperbaiki dalam 90 hari. Dalam kasus ini, perbaikannya memakan waktu 147 hari

  • Mencegah sistem email agar tidak terkirim adalah masalah tambahan. Perusahaan besar seperti Google telah mengembangkan banyak produk, tetapi "keamanan" terasa palsu. Setiap baris kode bisa menjadi potensi kerentanan