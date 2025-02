Google heeft een 'high impact' beveiligingslek in YouTube verholpen waardoor het mogelijk was om het e-mailadres van elke gebruiker te achterhalen. De beveiligingsonderzoeker die het probleem vond en rapporteerde ontving een beloning van 10.000 dollar. De onderzoeker, met het alias brutecat, ontdekte dat het mogelijk was om via YouTube willekeurige gebruikers te blokkeren en zo hun Gaia ID (Google account identifier) te achterhalen.

Vervolgens lukte het de onderzoeker om door middel van Googles eigen Pixel Recorder het e-mailadres te achterhalen dat bij het Gaia ID hoort. Hiervoor besloot de onderzoeker een opname via Pixel Recorder met het gevonden Gaia ID te delen. Vervolgens gaf een Google-endpoint het e-mailadres van de betreffende YouTube-gebruiker. Het delen van een opname zorgde er echter voor dat de betreffende gebruiker een e-mail ontving dat er een opname was gedeeld.

Het bleek echter mogelijk om het versturen van de notificatiemail te voorkomen. In de notificatie stond namelijk ook de titel van de opname. De YouTube-server stelde echter geen limiet aan de lengte van de titel. Door een hele lange titel voor de opname te kiezen werd er geen notificatiemail verstuurd. De onderzoeker waarschuwde Google op 15 september vorig jaar. Het techbedrijf besloot hem eerst een beloning van 3133 dollar toe te kennen. Dit bedrag werd een maand later met 7500 dollar verhoogd, omdat misbruik een grote impact zou kunnen hebben. Op internet is allerlei kritiek op Google dat de beloning voor een dergelijke kwetsbaarheid aan de lage kant is.