YouTubeユーザーのメールアドレス漏えい脆弱性を発見し、1万ドルの報奨金を受領

 (brutecat.com)
1 ポイント 投稿者 GN⁺ 2025-02-13 | 1件のコメント | WhatsAppで共有
  • Googleの内部 People API ドキュメントを調査していたところ、ユーザーをブロックする際に「プロフィール ID」と呼ばれる「難読化された Gaia ID」と「代替名」を使用していることを発見
  • YouTubeで他のユーザーをブロックすると、そのユーザーの Gaia ID が https://myaccount.google.com/blocklist に表示され、露出する可能性があることを確認
  • これらの Gaia ID は Google アカウント識別子であり、これを通じてユーザーのメールアドレスを特定できる可能性が示された

すべての YouTube チャンネルへの拡張可能性

  • ライブチャットユーザーの Gaia ID を確認できるだけでなく、すべての YouTube チャンネルについてこの情報を取得できるかを調査
  • YouTubeでチャンネルの「その他」メニューをクリックした際に特定のリクエストが発生し、このリクエストにチャンネルの Gaia ID が含まれていることを発見
  • これらのリクエストを通じてチャンネルの Gaia ID を取得できることを確認

Pixel Recorder を通じたメールアドレス取得

  • Pixel Recorder という Google 製品を通じて、Gaia ID をメールアドレスに変換できるかをテスト
  • 録音を共有する際、受信者の Gaia ID を入力すると該当するメールアドレスが返されることを確認
  • これにより、Gaia ID をメールアドレスに変換できることを確認

対象者に通知せずメールアドレスを取得

  • 録音を共有する際、対象者に通知メールが送信される問題があった
  • 録音タイトルを非常に長く設定することで、通知メールが送信されないように回避する方法を発見

攻撃チェーン全体の構成

  1. YouTube の /get_item_context_menu エンドポイントを通じてチャンネルの Gaia ID を取得
  2. Pixel Recorder を使用し、非常に長いタイトルの録音を対象者と共有して Gaia ID をメールアドレスに変換
  3. 共有リストから対象者を削除して痕跡を消去

報告と報奨

  • 2024年9月15日: Google に脆弱性を報告
  • 2024年9月16日: Google が報告を受理し、「Nice catch!」というフィードバックを受領
  • 2024年11月5日: Google セキュリティパネルで 3,133 ドルの報奨が決定
  • 2024年12月12日: 追加で 7,500 ドルの報奨を受け、合計 10,633 ドルの報奨を受領
  • 2025年2月12日: 脆弱性が公開

関連記事

1件のコメント

 
GN⁺ 2025-02-13
Hacker Newsの意見

  • このタイトルは紛らわしく感じた。最後まで読んでいない人のために言うと、流出したメールアドレスに彼らは何の費用もかけておらず、1万ドルのバグバウンティを受け取った

  • このスレッドでは3つおきくらいの投稿で、Googleのこのバグに対する支払いが少なすぎるという話が出ている。脆弱性評価に関する基本的な点として:

    • サーバーサイド脆弱性の評価は低い。ベンダー同士が競争していないからだ
    • Android/Chromeのようなフルチェーンバグは数十万ドルで取引される。Googleが確立されたグレーマーケットと競争しているからだ
    • バウンティとグレーマーケットの比較は apples と oranges の比較だ。Googleは信頼できるエクスプロイトを必要としていないので、グレーマーケットよりはるかに少なく支払う
    • 脅威アクターは既存のビジネスプロセスに合う脆弱性を購入する。新しい脆弱性で何ができるかを推測したりはしない

  • バウンティの支払いは一般的に、バグの創造性や面白さの評価ではない。ただ、ここではサーバーサイドのWebバグに対して1万ドルはかなり高く感じる

  • この種のバグを探す人たちのビジネス戦略は、とにかく多くのバグを見つけることだ。iOSエクスプロイト開発のように、1つのエクスプロイトに何か月も投資するわけではない

  • 最近の自分のキャリアでやっていた脆弱性研究に似ている。ただ、この仕事を専門にしている人がいるなら、その人たちの意見を聞いてみたい

  • 責任ある公開、その動機や報酬についての話は多い。しかし、中央集権的な恒久IDに対する反証データポイントとしての話はない

  • Real Identity™ への単一リンクでしか機能しないと主張するサービスを見るたびに、ベンダーは実際にはユーザー保護に関心がないのだと思い知らされる

  • YouTubeでやり取りしている相手を即座に暴ける状態に、あと数歩で近づけると想像してみてほしい。これがこのバグの本当の影響だ

  • このバグが修正されたのは良いことだが、この種のバグがすぐになくなるとは思えない。ベンダーや大企業に、こうした設計が危険だと気づかせるには何をすべきだろうか?

  • 素晴らしい発見だ! これほど有名なサービスで脆弱性を見つけるのは、履歴書映えも非常に良いはずだ。おめでとう

  • 「攻撃チェーンに必要な複雑さのため、基本金額から1段階減額を適用」――これは一般的なのか?

  • いくつかの脆弱性プログラムにしか参加したことはないが、たいていはセキュリティ欠陥が非常に単純な場合、報酬は少なくなる

  • あるコメント投稿者が、バウンティ額が闇市場価値とどう関係するかをすでに説明していた。とはいえ、Googleはセキュリティを十分重要視していないと考える人が多いのも分かる

  • セキュリティの観点では、可能な限り少なく支払うべきだ。より多く支払えば、バグを見つけるインセンティブが高まり、闇市場も拡大しかねない

  • GTO戦略は、可能な限り少ない金額で闇市場を封じることだ

  • Googleで研究対象を探していて、Internal People API (Staging) の発見ドキュメントを調べていた。これは公開されるべきなのだろうか?

  • YouTubeチャンネルの所有者にメールを送る方法があればいいのにと思う。多くはメール連絡先を載せておらず、スポンサーシップやその他の取引のために連絡するのが難しい

  • Googleは、90日以内に修正されなかったセキュリティ脆弱性を公開するのだろうか。この件では修正まで147日かかった

  • メールシステムが送信されないようにすることは、追加の問題でもある。Googleのような大企業は多くの製品を作ってきたが、「セキュリティ」は見せかけのように感じられる。コードの1行1行が潜在的な脆弱性になり得る