El descubridor del fallo obtuvo una recompensa de 10.000 dólares
A menudo cubrimos vulnerabilidades encontradas por actores maliciosos, pero a veces personas bien intencionadas encuentran problemas con el servicio de una empresa para ayudarla a protegerse. Tal es el caso de un investigador que encontró una vulnerabilidad en YouTube que habría filtrado los correos electrónicos de todos.
YouTube esquiva un exploit que habría expuesto miles de millones de correos electrónicos
Como describió en su informe el investigador de seguridad BruteCat, el exploit ocurrió cuando alguien fue bloqueado en YouTube. El servicio enumera todos los usuarios bloqueados en una sola página y, cuando BruteCat visita la página y mira la fuente, muestra el identificador único de la cuenta de Google de cada persona que bloquea.
Luego descubrió que si interceptaba una solicitud de servidor que se activaba cuando hacía clic en el menú de tres puntos junto a alguien en un chat en vivo, se mostraba el ID como parte de la respuesta. De esa manera, podía recopilar los ID de las cuentas de las personas sin bloquearlas.
Entonces BruteCat podía obtener la identificación de cualquier persona, pero no había nada que pudiera hacer con eso para filtrar información personal. Comenzó a jugar con otros productos de Google para ver si podía introducir el ID en el sistema y obtener algo identificable y observó que si usaba Pixel Recorder para enviar una solicitud para compartir un archivo de sonido a un usuario a través de su ID, el servidor enviaría de vuelta el correo electrónico adjunto al correo electrónico.
Esto significaba que podía extraer la dirección de correo electrónico de cualquier persona a partir de su ID, pero al compartir un archivo con el usuario se le enviaba un correo electrónico. Para solucionar esto, configuró el nombre de la grabación para que tuviera 2,5 millones de letras, demasiadas letras para que quepan en un correo electrónico.
Efectivamente, recibió el correo electrónico cuando compartió el archivo de sonido, pero no se envió ninguna notificación. Luego creó un script de Python que automatizó todo; cuando se le proporcionó un ID, devolvió una dirección.
Si esto cayera en manos equivocadas, los estafadores se aprovecharían al máximo para recopilar los correos electrónicos de los usuarios, creadores de contenido y cualquier otra persona en YouTube. Sin embargo, como BruteCat es un hacker ético, en lugar de eso detalló el problema a Google, que lo solucionó y le dio a BruteCat 10.000 dólares.
Si a ti también te gustaría que te pagasen por quebrantar la seguridad de una empresa, existen cursos de piratería ética para principiantes que puedes consultar, y también puedes leer sobre la certificación Certified Ethical Hacker (CEH). Simplemente no andes atacando empresas sin su permiso; ahí es donde está la línea entre la piratería ética y la piratería criminal.
