Nieuws
Google dicht privacylek in YouTube
Google heeft een ernstig beveiligingslek in YouTube verholpen waarmee het mogelijk was om het e-mailadres van elke gebruiker te achterhalen.
De onderzoeker met de naam Brutecat ontdekte dat hij via YouTube gebruikers kon blokkeren en zo hun Gaia ID (Google account identifier) kon achterhalen. Door vervolgens een opname in Googles Pixel Recorder te delen met dat ID, gaf een Google-endpoint het bijbehorende e-mailadres vrij.
De onderzoeker ontdekte ook een manier om te voorkomen dat de gebruiker een notificatie kreeg over de gedeelde opname. YouTube stelde geen limiet aan de lengte van de titel, waardoor een extreem lange titel ervoor zorgde dat de notificatiemail niet werd verstuurd. Op 15 september 2023 rapporteerde Brutecat het probleem aan Google.
Aanvankelijk ontving de onderzoeker een beloning van 3133 dollar, maar na heroverweging verhoogde Google dit bedrag met 7.500 dollar vanwege de grote impact van het lek. Desondanks is er online kritiek dat de beloning voor zo’n ernstige kwetsbaarheid te laag is.
Bron: Security.nl
Reacties
0