Uma falha de segurança descoberta no YouTube poderia ter exposto os endereços de e-mail de milhões de usuários, colocando em risco a privacidade de criadores de conteúdo, ativistas e outras pessoas que dependem do anonimato para sua segurança.
A boa notícia é que o Google, dono do YouTube, corrigiu o problema após ser alertado por pesquisadores de segurança cibernética.
Tudo começou quando os pesquisadores Brutecat e Nathan descobriram que, ao bloquear um usuário no YouTube, um identificador interno do Google, chamado Gaia ID, era revelado.
Esse código é único para cada usuário e é usado em todos os serviços do Google, como Gmail e Google Drive. O problema é que ele não deveria ser acessível publicamente.
Com o Gaia ID em mãos, os pesquisadores conseguiram ir além: descobriram uma maneira de vincular esse código ao endereço de e-mail do usuário.
Para testar a falha, os pesquisadores usaram um método criativo. Eles exploraram brechas em produtos antigos do Google, como o app Recorder para celulares Pixel.
Ao compartilhar um arquivo com um Gaia ID oculto, eles renomearam o arquivo com um nome absurdamente longo (2,5 milhões de caracteres!), o que fez o sistema de notificações por e-mail “quebrar”.
Com isso, eles mostraram que era possível converter o Gaia ID em um e-mail real, sem que o usuário fosse notificado.
O Google foi informado sobre a vulnerabilidade em setembro de 2024, mas a correção só foi concluída em fevereiro de 2025.
Apesar do tempo de exposição, a empresa afirmou que não há indícios de que a falha tenha sido explorada por hackers. Como recompensa, os pesquisadores receberam mais de US$ 10 mil pelo trabalho.
✨ Curtiu este conteúdo?
O GDiscovery está aqui todos os dias trazendo informações confiáveis e independentes sobre o universo Google - e isso só é possível com o apoio de pessoas como você. 🙌
Com apenas R$ 5 por mês, você ajuda a manter este trabalho no ar e leva informação de qualidade para ainda mais gente!
