В YouTube закрыли лазейки, раскрывающие почту пользователей

Екатерина Быстрова 13 Февраля 2025 - 09:40

...

В YouTube закрыли лазейки, раскрывающие почту пользователей

Google устранила две уязвимости, которые в связке позволяли раскрыть адреса электронной почты пользователей YouTube. Для тех, кто пытался использовать видеохостинг анонимно, это была серьёзная проблема.

На бреши обратили внимание исследователи Brutecat (brutecat.com) и Натан (schizo.org). По их словам, YouTube и API Pixel Recorder можно было использовать для получения идентификаторов пользователей и конвертации их в имейлы.

Поскольку платформой пользуются многие активисты и информаторы государственного уровня, эксплуатация описанных уязвимостей может угрожать раскрытием их личностей.

Первую часть этого вектора атаки выявил Brutecat после изучения API Google Internal People. Как обнаружил исследователь, функциональность «blocking» требует обфусцированные данные Gaia ID и отображаемое имя.

Gaia ID — уникальный внутренний идентификатор, который Google использует на всех своих веб-ресурсах. Этот идентификатор предназначается исключительно для использования внутри проектов интернет-гиганта и не должен «торчать наружу».

После ряда тестов Brutecat выяснил, что при попытке заблокировать кого-либо в чате на YouTube платформа раскрывает обфусцированный Gaia ID пользователя. Это происходит в ответ на API-запрос /youtube/v1/live_chat/get_item_context_menu.

Зашифрованные base64 данные при раскрытии как раз выдавали идентификатор:

Модифицируя упомянутый вызов API, Brutecat смогут получить Gaia ID любого канала на YouTube, включая тех, кто пытался скрыть свои данные. После этого специалисты начали думать, как добыть имел при наличии идентификатора Gaia.

Тут в дело вступил Натан, который нашёл Pixel Recorder — API, позволяющий конвертировать Gaia ID в адрес электронной почты.

Исследователи передали Google информацию о проблеме в сентябре 2024 года. А в этом месяце разработчики устранили уязвимость.

Следующая главная новость »

Защита мобильных приложений: где бизнес теряет данные?
Регистрируйтесь на эфир!

Яков Шпунт 19 Мая 2026 - 12:51

Соответствие законодательству РФ Корпорации Государство Соответствие требованиям регуляторов

Правительство будет стимулировать спрос промышленности на российское ПО

В ходе выступления на конференции «ЦИПР-2026» глава правительства Михаил Мишустин заявил, что работа по стимулированию спроса на российское ПО будет продолжена. Основная цель, по его словам, заключается в переходе от оперативного импортозамещения к системной работе по созданию отечественных экосистем, в том числе сложных.

Выступление премьера, как сообщает «Коммерсантъ», было посвящено итогам четырёхлетней работы по переходу российской экономики на отечественное ПО.

По словам Михаила Мишустина, в этой области уже есть заметные результаты: «сотни уже внедрённых промышленных систем, которые управляют цехами, логистикой, идут в серию».

Российское ПО, отметил премьер, уже способно обеспечивать работу ключевых управленческих и производственных процессов в стратегически важных отраслях. Среди них он назвал электроэнергетику, недропользование, добычу нефти и газа, а также нефтехимию. При этом остаются и отстающие направления, в частности автомобилестроение.

Важную роль в этой работе играют индустриальные центры компетенций (ИЦК). Если на момент их запуска в 2022 году насчитывалось около 5 тыс. процессов, для которых не было российского ПО, то сейчас это число сократилось в четыре раза.

Однако многие компании продолжают использовать зарубежное ПО. Часто оно не требует срочной замены, поэтому у бизнеса нет достаточных стимулов переходить на российские решения. По словам премьера, такая ситуация создаёт «огромные технологические риски».

В числе ключевых задач Михаил Мишустин назвал стимулирование спроса на отечественное ПО. Среди возможных мер он упомянул двойной коэффициент при учёте расходов на российское ПО, ускоренную амортизацию отечественных программ и программно-аппаратных комплексов, а также освобождение от НДС сделок по продаже прав на российский софт. От НДС планируется освободить и облачные сервисы. Развитию облачных сервисов премьер также уделил отдельное внимание.

Кроме того, премьер поручил ИЦК до конца года проработать и представить в правительство варианты необходимых и перспективных ИИ-сервисов для каждой отрасли. При этом наборы промышленных данных, отраслевые модели данных и стандарты обмена должны быть отечественными.

Защита мобильных приложений: где бизнес теряет данные?
Регистрируйтесь на эфир!