Google ha solucionado dos brechas de seguridad en sus servicios que permitían identificar la dirección de correo electrónico de cuentas de YouTube, incluso de usuarios anónimos.

El ID de Gaia es el sistema que gestiona las ID únicas de cada usuario para todos los productos de Google, como Gmail, Drive, YouTube y otros servicios. A pesar de ser interno, ha estado vulnerable durante meses, revelando correos electrónicos asociados a los usuarios.

El procedimiento se inicia en YouTube, donde es posible bloquear a un usuario y extender dicho bloqueo a varios servicios de Google a través de un chat en vivo o en la bandeja de entrada de notificaciones.

El investigador conocido como Brutecat recurrió a una API de YouTube para acceder al ID de Gaia ofuscado de un usuario bloqueado en un canal de YouTube durante una transmisión en vivo.

Junto con otro investigador llamado Nathan, ampliaron el análisis a las API de Google en búsqueda de errores, particularmente aquellas obsoletas que podrían revelar el correo electrónico de una persona a partir del ID de Gaia.

Descubrieron la Grabadora de Pixel, un servicio que respalda grabaciones en la web, con una API web que podía usarse para su propósito.

Nathan grabó desde su dispositivo Pixel, sincronizó la grabación en su cuenta de Google y al intentar compartirla con un correo de prueba, la API reveló el correo electrónico vinculado al ID de Gaia.

Luego, ambos relacionaron estos hallazgos y utilizaron la API web de la Grabadora para ingresar el ID de Gaia de un usuario bloqueado en YouTube, lo que reveló su dirección de correo electrónico.

A pesar de que esta acción notifica a la víctima por correo, los investigadores idearon una solución compartiendo la grabación con un nombre extremadamente largo de 2,5 millones de letras.

Estas fallas fueron parcheadas en febrero, a pesar de ser identificadas en septiembre del año pasado. Google recompensó a los investigadores con 10.633 dólares (unos 10.258 euros al cambio).