Cum a funcționat exploitul?

Cercetătorii au descoperit că API-ul YouTube expunea ID-uri Gaia ascunse atunci când un utilizator încerca să blocheze pe cineva într-un chat live. Acest ID, un identificator intern folosit de Google pentru a gestiona conturile pe toate platformele sale, putea fi decodat și transformat într-o adresă de e-mail folosind un API vechi al Pixel Recorder. Astfel, un atacator putea obține date sensibile fără consimțământul utilizatorului.

Deși procesul era tehnic și implică mai mulți pași, cercetătorii au reușit să ocolească notificările de securitate trimise de Google, făcând exploatarea mai discretă.

Ce a făcut Google?

După ce a fost notificat în septembrie 2024, Google a acționat rapid pentru a rezolva problema. Compania a închis scurgerea ID-urilor Gaia și a eliminat posibilitatea de a le converti în adrese de e-mail prin Pixel Recorder. De asemenea, Google a limitat efectul blocării unui utilizator doar la YouTube, prevenind impactul asupra altor servicii.

Cercetătorii au primit o recompensă de 10.633 de dolari pentru descoperirea lor, iar Google a confirmat că nu există dovezi că vulnerabilitățile au fost exploatate în mod activ.

Cum vă puteți proteja?

1. Folosiți autentificarea cu doi factori (2FA): Adăugați un nivel suplimentar de securitate conturilor dumneavoastră.
2. Verificați activitatea contului: Monitorizați periodic dacă există acțiuni suspecte în contul Google.
3. Limitați expunerea datelor: Evitați să partajați informații personale pe platforme online.
4. Actualizați-vă aplicațiile: Asigurați-vă că folosiți cele mai recente versiuni ale software-ului.
5. Fiți atenți la notificări neobișnuite: Reacționați imediat dacă primiți alerte de securitate neașteptate.

Concluzie: Această situație evidențiază importanța securității online și a măsurilor proactive pentru a vă proteja datele personale. Pentru mai multe informații și sfaturi despre cum să vă asigurați că informațiile dumneavoastră sunt în siguranță, vizitați sigurantapenet.ro.

Sursa1 Sursa2