Ένας ερευνητής, γνωστός με το όνομα Brutecat, κατάφερε να εκμεταλλευτεί αρκετές αδυναμίες σε προϊόντα της Google για να αποκτήσει την ηλεκτρονική διεύθυνση οποιουδήποτε χρήστη του YouTube, σύμφωνα με την αναφορά του CyberNews.
Η Google έχει πλέον επιδιορθώσει το σφάλμα, αλλά αυτό ενδέχεται να θέσει σε σοβαρό κίνδυνο την ιδιωτικότητα των χρηστών και να τους εκθέσει σε επιθέσεις phishing.
Το YouTube παρακολουθείται για περίπου 1 δισεκατομμύριο ώρες καθημερινά, με σχεδόν 2,5 δισεκατομμύρια χρήστες και 51 εκατομμύρια κανάλια – επομένως, η προστασία της ιδιωτικότητας είναι κρίσιμη.
Τα κενά ασφαλείας εντοπίστηκαν όταν ο ερευνητής “έψαχνε” στην Internal People API (staging) και παρατήρησε «κάτι ενδιαφέρον».
Βρήκε ότι αν κάποιος μπλοκάρει άλλον χρήστη στο YouTube, διαρρέει ο αναγνωριστικός κωδικός του Google λογαριασμού του.
Στη συνέχεια, ανακάλυψε ότι κάνοντας κλικ στο μενού επιλογών (τρεις τελείες), το GAIA ID περιλαμβανόταν στην απάντηση του διακομιστή. Δεν ήταν ανάγκη να μπλοκάρει το κανάλι – κάτι που επέτρεπε την κλιμάκωση του κενού ασφαλείας σε κάθε λογαριασμό YouTube, δηλαδή σε όλους τους 4 δισεκατομμύρια λογαριασμούς.
Ανακαλύπτοντας παλαιότερα προϊόντα της Google, ο ερευνητής εντόπισε ότι το Pixel Recorder περιείχε ένα σφάλμα που επέτρεπε να μετατραπεί το εκτεθειμένο GAIA ID σε διεύθυνση email. Στην αρχή, όταν αυτό γινόταν, ο θύμα λαμβάνονταν μια ειδοποίηση μέσω email, κάτι που μείωνε σημαντικά την επίδραση του κενού ασφαλείας. Ωστόσο, ανακάλυψε έναν τρόπο παράκαμψης:
«Τότε καταλάβαμε – αν περιλαμβάνει τον τίτλο της εγγραφής στο θέμα του email, ίσως να μην μπορούσε να στείλει email αν ο τίτλος ήταν πολύ μεγάλος».
Αυτό λειτούργησε – και όταν ο τίτλος της εγγραφής αυξήθηκε σε 2,5 εκατομμύρια χαρακτήρες, «Μπινγκο! Κανένα email ειδοποίησης».
Για την αποκάλυψη του κενού ασφαλείας, ο ερευνητής έλαβε το βραβείο των 10.633 δολ. Υπάρχει μια μακρά παράδοση στους παρόχους λογισμικού που προσφέρουν βραβεία (bug bounties) για τους ερευνητές ασφαλείας, με την Google να έχει καταβάλει 10 εκατ. δολ. σε τέτοια “βραβεία” το 2023.
Η αναφορά στάλθηκε στις 15 Σεπτεμβρίου 2024 και, τον Νοέμβριο, δόθηκε το πρώτο βραβείο των 3.133 δολ., με την αιτιολόγηση:
«Η πιθανότητα εκμετάλλευσης είναι μεσαίου κινδύνου. Το πρόβλημα χαρακτηρίζεται ως μέθοδος σχετική με κατάχρηση με υψηλό αντίκτυπο».
Στις 15 Δεκεμβρίου, δόθηκε επιπλέον ποσό 7.500 δολ., καθώς «η πιθανότητα εκμετάλλευσης είναι υψηλή. Το πρόβλημα χαρακτηρίζεται ως μέθοδος σχετική με κατάχρηση με υψηλό αντίκτυπο» – χάρη σε μια ανανεωμένη αναφορά από την ομάδα του προϊόντος.
Προφανώς, η Google έχει αναγνωρίσει τον κίνδυνο κατάχρησης αυτού του κενού ασφαλείας – αλλά ποιος είναι ο κίνδυνος για τους χρήστες;
Εφόσον τα στοιχεία σύνδεσης, οι κωδικοί πρόσβασης ή άλλες προσωπικά αναγνωρίσιμες πληροφορίες δεν αποτελούν μέρος αυτής της επίθεσης, ο μόνος κίνδυνος είναι οι επιθέσεις phishing μέσω email.
Λέμε «μόνο», αλλά οι επιθέσεις phishing είναι μια σοβαρή απειλή και πλήττουν εκατομμύρια θύματα κάθε χρόνο – και μπορούν να οδηγήσουν σε πιο σοβαρά εγκλήματα όπως κλοπή ταυτότητας ή απάτες.
Οι επιθέσεις phishing είναι μια μορφή διαδικτυακής απάτης, κατά την οποία οι επιτιθέμενοι προσπαθούν να παραπλανήσουν τα θύματα τους, προσποιούμενοι ότι είναι αξιόπιστοι φορείς, όπως τράπεζες ή γνωστές εταιρείες.
Σκοπός τους είναι να αποσπάσουν ευαίσθητες πληροφορίες, όπως κωδικούς πρόσβασης, αριθμούς πιστωτικών καρτών ή προσωπικά δεδομένα, συνήθως μέσω παραπλανητικών email ή ιστοσελίδων. Οι χρήστες καλούνται να κάνουν κλικ σε επικίνδυνους συνδέσμους ή να παρέχουν προσωπικές πληροφορίες χωρίς να το καταλάβουν.
Αν ένας κυβερνοεγκληματίας σας στείλει email, υπάρχουν μεγάλοι «κόκκινοι συναγερμοί» που πρέπει να προσέξετε. Ο πρώτος είναι η διεύθυνση του αποστολέα – αν είναι G00gle ή M1crosoft αντί για τις πραγματικές διευθύνσεις τους, μην το ανοίξετε. Επίσης, αν λάβετε ένα εντελώς απροσδόκητο email από έναν «φίλο» από λογαριασμό που δεν αναγνωρίζετε – ειδικά αν σας προτρέπει σε κάποια ενέργεια (π.χ. να κάνετε κλικ σε σύνδεσμο, να στείλετε χρήματα, να αγοράσετε κάρτα δώρου κλπ) – τότε να είστε ιδιαίτερα επιφυλακτικοί.
Αν είστε απόλυτα επιφυλακτικοί με τα emails που λαμβάνετε, θα βρίσκεστε σε καλύτερη θέση να αποφύγετε κινδύνους.
Για την ασφάλειά σας, θα πρέπει να δημιουργείτε ισχυρούς και ασφαλείς κωδικούς για κάθε λογαριασμό και να τους αλλάζετε όσο πιο συχνά μπορείτε (βρείτε οδηγίες για να φτιάξετε τους πιο ασφαλείς κωδικούς εδώ).
Το τελευταίο πράγμα που πρέπει να προσέχετε είναι τα συνημμένα αρχεία – αν ο αποστολέας είναι άγνωστος και το email περιέχει εικόνες, συνδέσμους ή έγγραφα – αυτό είναι ύποπτο. Οι QR κωδικοί μπορεί να είναι κακόβουλοι, οπότε μην τους σκανάρετε αν δεν είστε βέβαιοι ότι είναι ασφαλείς.
