Google telah memperbaiki kerentanan keamanan yang mengekspos alamat email pengguna YouTube, sebuah pelanggaran privasi yang berpotensi besar. Google – yang memiliki YouTube – telah mengonfirmasi bahwa kerentanan yang ditemukan oleh peneliti keamanan cyber, yang dikenal sebagai Brutecat dan Nathan, telah diatasi, sesuai laporan di BleepingComputer. Selain dari pelanggaran privasi yang akan mempengaruhi semua akun YouTube, banyak YouTuber seperti konten kreator kontroversial, penyelidik, pengungkap rahasia, dan aktivis menjaga identitas mereka tetap anonim untuk melindungi keamanan mereka. Mengekspos email pengguna seperti itu bisa memiliki dampak besar. Brutecat menemukan bahwa memblokir pengguna di YouTube mengungkapkan pengidentifikasi internal unik yang digunakan Google untuk setiap pengguna di semua platformnya (Gmail, Google Drive, dll.) yang disebut Gaia ID. Mereka kemudian menemukan bahwa dengan hanya mengklik ikon tiga titik dari profil obrolan langsung pengguna untuk mengakses fungsi blokir memicu permintaan API yang mengungkapkan Gaia ID mereka. Hal ini sendiri sudah merupakan kerentanan keamanan karena mengungkapkan pengidentifikasi unik untuk akun YouTube yang seharusnya hanya digunakan secara internal. Tetapi sekarang bahwa Brutecat dapat mengambil Gaia IDs pengguna, mereka berusaha untuk melihat apakah mereka bisa mengungkap alamat email yang terkait dengan setiap ID. Dengan bantuan Nathan, dua peneliti itu menduga mereka bisa melakukannya dengan “produk Google lama yang terlupakan karena kemungkinan mengandung beberapa bug atau kekurangan logika untuk menyelesaikan Gaia ID menjadi email.” Dengan menggunakan aplikasi Perekam Google untuk perangkat Pixel, mereka menguji berbagi file dengan Gaia ID yang terabai dan memblokir pengguna dari menerima pemberitahuan email dengan mengubah nama file menjadi nama yang terdiri dari 2,5 juta huruf, yang mengacaukan sistem pemberitahuan email karena terlalu panjang. Sekarang bahwa korban hipotetis tidak akan diberitahu, para peneliti mengirimkan permintaan berbagi file dengan Gaia IDs, secara efektif mengonversi ID menjadi alamat email. Berkat penyelidikan Brutecat dan Nathan, Google dapat mengamankan kerentanan tersebut dan mencegah peretas dari mengakses alamat email semua orang yang terkait dengan akun YouTube mereka. Kerentanan tersebut diungkapkan kepada Google pada Sep. 2024 dan akhirnya diperbaiki pada 9 Feb. 2025. Itu waktu yang lama untuk potensi paparan, tetapi Google mengkonfirmasi kepada BleepingComputer bahwa tidak ada “tanda-tanda bahwa peretas secara aktif memanfaatkan kerentanannya.” Sebagai imbalan atas kerja mereka, para peneliti menerima $10.633. Puas, krisis dihindari. Tema Keamanan Siber YouTube.
