YouTube उपयोगकर्ताओं के ईमेल लीक करने वाली भेद्यता मिली, $10,000 का इनाम मिला

 (brutecat.com)
1 पॉइंट द्वारा GN⁺ 2025-02-13 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Google के आंतरिक People API दस्तावेज़ों की जांच करते समय यह पाया गया कि किसी उपयोगकर्ता को block करते समय obfuscated Gaia ID, जिसे profile ID भी कहा जाता है, और alternate names का उपयोग किया जाता है
  • यह पुष्टि हुई कि YouTube पर किसी दूसरे उपयोगकर्ता को block करने पर उस उपयोगकर्ता का Gaia ID https://myaccount.google.com/blocklist में दिख सकता है और इस तरह उजागर हो सकता है
  • ये Gaia ID, Google account identifiers हैं, और इनके जरिए उपयोगकर्ता का email address पता लगाया जा सकने की संभावना सामने आई

सभी YouTube channels तक विस्तार की संभावना

  • यह जांच की गई कि क्या live chat users के Gaia ID देखने के अलावा, सभी YouTube channels के लिए भी यह जानकारी हासिल की जा सकती है
  • यह पाया गया कि YouTube में किसी channel के 더보기 menu पर click करने पर एक खास request जाती है, और उस request में channel का Gaia ID शामिल होता है
  • इससे यह पुष्टि हुई कि ऐसे requests के जरिए channel का Gaia ID हासिल किया जा सकता है

Pixel Recorder के जरिए email address प्राप्त करना

  • Pixel Recorder नाम के Google product के जरिए यह test किया गया कि क्या Gaia ID को email address में बदला जा सकता है
  • recording share करते समय, recipient का Gaia ID डालने पर संबंधित email address वापस मिल रहा था
  • इससे यह पुष्टि हुई कि Gaia ID को email address में बदला जा सकता है

target को सूचना दिए बिना email address प्राप्त करना

  • recording share करते समय target को notification email भेजे जाने की समस्या थी
  • recording title को बहुत लंबा सेट करके notification email भेजे जाने से बचने का एक bypass तरीका मिला

पूरे attack chain की संरचना

  1. YouTube के /get_item_context_menu endpoint के जरिए channel का Gaia ID हासिल करना
  2. Pixel Recorder का उपयोग करके बहुत लंबे title वाली recording target के साथ share करना, ताकि Gaia ID को email address में बदला जा सके
  3. share list से target को हटाकर traces मिटाना

रिपोर्ट और इनाम

  • 15 सितंबर 2024: Google को भेद्यता report की गई
  • 16 सितंबर 2024: Google ने report स्वीकार की और Nice catch! जैसा feedback दिया
  • 5 नवंबर 2024: Google security panel ने $3,133 के इनाम का फैसला किया
  • 12 दिसंबर 2024: अतिरिक्त $7,500 मिले, जिससे कुल इनाम $10,633 हो गया
  • 12 फ़रवरी 2025: भेद्यता सार्वजनिक की गई

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2025-02-13
Hacker News राय

  • यह शीर्षक थोड़ा भ्रमित करने वाला लगा। जो लोग लेख के अंत तक नहीं पढ़ते, उनके लिए: लीक हुए ईमेल के लिए उन्हें कोई लागत नहीं उठानी पड़ी, और उन्हें $10,000 का bug bounty मिला

  • इस थ्रेड में हर तीसरे संदेश में यह बात है कि Google ने इस बग के लिए कम भुगतान किया। vulnerability valuation के कुछ बुनियादी बिंदु:

    • server-side vulnerabilities का मूल्यांकन कम होता है। क्योंकि vendors इनके लिए प्रतिस्पर्धा नहीं करते
    • Android/Chrome जैसे full-chain bugs की कीमत कई लाख डॉलर तक जाती है। क्योंकि Google एक अच्छी तरह स्थापित grey market के साथ प्रतिस्पर्धा करता है
    • bounty और grey market की तुलना apples and oranges जैसी है। Google को reliable exploit की ज़रूरत नहीं होती, इसलिए वह grey market से काफ़ी कम भुगतान करता है
    • threat actors उन vulnerabilities को खरीदते हैं जो उनके मौजूदा business process में फिट बैठती हैं। वे यह अटकल नहीं लगाते कि किसी नई vulnerability से क्या किया जा सकता है

  • bounty payout आमतौर पर bug की creativity या interestingness का आकलन नहीं होता। लेकिन यहाँ server-side web bug के लिए $10,000 काफ़ी ज़्यादा लगते हैं

  • इस तरह के bug खोजने वालों की business strategy बहुत सारे bug ढूँढना होती है। यह iOS exploit development की तरह नहीं है, जहाँ एक exploit पर महीनों लगाए जाते हैं

  • यह मेरी हाल की career में किए गए vulnerability research जैसा लगता है। लेकिन अगर कोई इसे पेशेवर तौर पर करता है, तो मैं उसकी राय सुनना चाहूँगा

  • responsible disclosure, उसकी motivation और reward के बारे में बहुत चर्चा होती है। लेकिन centralized permanent identity के खिलाफ data point के रूप में ऐसी कहानियाँ नहीं होतीं

  • जब भी मैं ऐसी service देखता हूँ जो दावा करती है कि वह केवल Real Identity™ के साथ single link पर काम करती है, तो मुझे फिर याद आता है कि vendors को वास्तव में users की सुरक्षा की परवाह नहीं है

  • कल्पना कीजिए कि YouTube पर किसी से interact करने वाले व्यक्ति को तुरंत उजागर करने की दिशा में हम कुछ कदम और करीब पहुँच जाएँ। यही इस bug का असली impact है

  • अच्छा है कि यह bug fix हो गया, लेकिन ऐसा नहीं लगता कि इस तरह के bug जल्द गायब हो जाएँगे। vendors और बड़ी कंपनियों को यह समझाने के लिए क्या करना होगा कि इस तरह की design ख़तरनाक है?

  • शानदार खोज! इतने प्रसिद्ध service में vulnerability ढूँढना resume पर बहुत अच्छा लगेगा। बधाई

  • "attack chain में ज़रूरी complexity की वजह से base amount से 1-step downward adjustment लागू किया गया" — क्या यह आम बात है?

  • मैंने केवल कुछ vulnerability programs में हिस्सा लिया है, लेकिन ज़्यादातर में जब security flaw बहुत simple होता है तो reward कम मिलता है

  • एक commenter पहले ही समझा चुका है कि bounty amount का black market value से क्या संबंध है। अब बहुत से लोग सोच सकते हैं कि Google security को पर्याप्त महत्व नहीं देता

  • security के लिहाज़ से जितना संभव हो उतना कम भुगतान करना चाहिए। ज़्यादा भुगतान करने से bug खोजने का incentive बढ़ता है, और black market भी बढ़ सकता है

  • GTO strategy यह है कि सबसे कम पैसे में black market को block किया जाए

  • मैं Google में research targets ढूँढ रहा था और Internal People API (Staging) discovery documents देख रहा था। क्या यह public होना चाहिए?

  • काश YouTube channel owners को email भेजने का कोई तरीका होता। ज़्यादातर के पास email contact नहीं होता, और sponsorships या दूसरे deals के लिए उनसे संपर्क करना मुश्किल होता है

  • मुझे जिज्ञासा है कि अगर Google 90 दिनों के भीतर fix नहीं करता, तो क्या वह security vulnerability को disclose करता है। इस मामले में fix होने में 147 दिन लगे

  • email system को भेजे जाने से रोकना एक अतिरिक्त समस्या है। Google जैसी बड़ी कंपनी ने बहुत सारे products बनाए हैं, लेकिन "security" नकली सी लगती है। code की हर line एक संभावित vulnerability हो सकती है