Falha crítica no YouTube permite vazamento de e-mails de usuários via Pixel Recorder
2025-02-12
Uma vulnerabilidade crítica no YouTube permite que atacantes vazem o endereço de e-mail de qualquer usuário do YouTube explorando o serviço Google Pixel Recorder. A cadeia de ataque envolve primeiro obter o ID Gaia ofuscado do usuário por meio do ponto de extremidade /get_item_context_menu do YouTube. Em seguida, aproveitando a funcionalidade de compartilhamento do Pixel Recorder e contornando os mecanismos de notificação, o atacante converte o ID Gaia em endereço de e-mail. Embora a exploração exija uma cadeia complexa de etapas, seu impacto é significativo, resultando em uma recompensa de US$ 10.500 do Google.