Google corrigió vulnerabilidades presentes en sus servicios que permitían conseguir la dirección de correo electrónico de cuentas de YouTube, inclusive de usuarios anónimos.
Utilizando una API de YouTube, el investigador conocido como Brutecat accedió al sistema que administra las ID únicas de cada usuario desde el chat en vivo en un ‘streaming’ cualquiera, identificado junto con su canal de YouTube.
Tras un análisis, Nathan, junto a otro investigador, logró averiguar el ‘email’ de una persona a partir de un ID de Gaia. Luego, con la Grabadora de Pixel, que almacena las copias de seguridad de las grabaciones en la web https://recorder.google.com, identificaron una API web que servía para su propósito.
Posteriormente, Nathan grabó desde su dispositivo Pixel y la sincronizó en su cuenta de Google para que apareciera en dicha web. Tras compartir esta grabación con un correo que tenían de prueba, la API devolvió el correo electrónico vinculado con el ID de Gaia.
Por la detección, que se ha parcheado este febrero, Google recompensó a los investigadores con 10.633 dólares.
