GN⁺: YouTube 사용자 이메일 유출 취약점 발견하여 $10,000 보상금 수령

 (brutecat.com)
1P by neo 16일전 | ★ favorite | 댓글 1개
  • Google의 내부 People API 문서를 조사하던 중, 사용자를 차단할 때 '프로필 ID'로 불리는 '난독화된 Gaia ID'와 '대체 이름'을 사용하는 것을 발견함
  • YouTube에서 다른 사용자를 차단하면 해당 사용자의 Gaia ID가 https://myaccount.google.com/blocklist에 표시되어 노출될 수 있음을 확인
  • 이러한 Gaia ID는 Google 계정 식별자로, 이를 통해 사용자의 이메일 주소를 알아낼 수 있는 가능성이 제기됨

모든 YouTube 채널로의 확장 가능성

  • 라이브 채팅 사용자의 Gaia ID를 확인할 수 있을 뿐만 아니라, 모든 YouTube 채널에 대해 이 정보를 얻을 수 있는지 조사함
  • YouTube에서 채널의 '더보기' 메뉴를 클릭할 때 특정 요청이 발생하며, 이 요청에 채널의 Gaia ID가 포함되어 있음을 발견함
  • 이러한 요청을 통해 채널의 Gaia ID를 획득할 수 있음을 확인함

Pixel Recorder를 통한 이메일 주소 획득

  • Pixel Recorder라는 Google 제품을 통해 Gaia ID를 이메일 주소로 변환할 수 있는지를 테스트함
  • 녹음을 공유할 때, 수신자의 Gaia ID를 입력하면 해당 이메일 주소를 반환하는 것을 확인함
  • 이를 통해 Gaia ID를 이메일 주소로 변환할 수 있음을 확인함

대상자에게 알림 없이 이메일 주소 획득

  • 녹음을 공유할 때 대상자에게 알림 이메일이 전송되는 문제가 있었음
  • 녹음 제목을 매우 길게 설정하여 알림 이메일이 전송되지 않도록 우회하는 방법을 발견함

전체 공격 체인의 구성

  1. YouTube의 /get_item_context_menu 엔드포인트를 통해 채널의 Gaia ID를 획득
  2. Pixel Recorder를 사용하여 매우 긴 제목의 녹음을 대상자와 공유하여 Gaia ID를 이메일 주소로 변환함
  3. 공유 목록에서 대상자를 제거하여 흔적을 지움

보고 및 보상

  • 2024년 9월 15일: Google에 취약점을 보고함
  • 2024년 9월 16일: Google에서 보고를 접수하고 'Nice catch!'라는 피드백을 받음
  • 2024년 11월 5일: Google 보안 패널에서 $3,133의 보상을 결정함
  • 2024년 12월 12일: 추가로 $7,500의 보상을 받아 총 $10,633의 보상을 받음
  • 2025년 2월 12일: 취약점이 공개됨
neo 16일전  [-]
Hacker News 의견

  • 이 제목이 혼란스럽게 느껴졌음. 기사 끝까지 읽지 않은 사람들을 위해: 유출된 이메일은 그들에게 아무 비용도 들지 않았고, 10,000달러의 버그 바운티를 받았음

  • 이 스레드의 3번째 메시지마다 Google이 이 버그에 대해 적게 지불했다는 내용이 있음. 취약점 평가에 대한 기본적인 사항들:

    • 서버 측 취약점의 평가는 낮음. 공급업체들이 경쟁하지 않기 때문임
    • Android/Chrome 같은 전체 체인 버그는 수십만 달러에 거래됨. Google이 잘 확립된 회색 시장과 경쟁하기 때문임
    • 바운티와 회색 시장의 비교는 사과와 오렌지의 비교임. Google은 신뢰할 수 있는 익스플로잇이 필요하지 않기 때문에 회색 시장보다 훨씬 적게 지불함
    • 위협 행위자들은 기존 비즈니스 프로세스에 맞는 취약점을 구매함. 새로운 취약점으로 무엇을 할 수 있을지에 대해 추측하지 않음

  • 바운티 지급은 일반적으로 버그의 창의성이나 흥미로움에 대한 평가가 아님. 그러나 여기서는 서버 측 웹 버그에 대해 10,000달러가 매우 높게 느껴짐

  • 이러한 종류의 버그를 찾는 사람들의 비즈니스 전략은 많은 버그를 찾는 것임. iOS 익스플로잇 개발처럼 한 가지 익스플로잇에 몇 달을 투자하는 것이 아님

  • 최근 경력에서 내가 한 취약점 연구와 비슷함. 하지만 이 일을 전문적으로 하는 사람들이 있다면 그들의 의견을 듣고 싶음

  • 책임 있는 공개, 그 동기와 보상에 대한 많은 이야기가 있음. 그러나 중앙 집중식 영구 신원에 대한 반대 데이터 포인트로서의 이야기는 없음

  • Real Identity™와의 단일 링크로만 작동한다고 주장하는 서비스를 볼 때마다, 공급업체들이 실제로 사용자를 보호하는 데 관심이 없다는 것을 상기하게 됨

  • YouTube에서 상호작용하는 사람을 즉시 폭로할 수 있는 몇 단계 더 가까워질 수 있다고 상상해 보세요. 이것이 이 버그의 실제 영향임

  • 이 버그가 수정된 것은 좋지만, 이 종류의 버그가 곧 사라질 것 같지는 않음. 공급업체와 대기업이 이러한 설계가 위험하다는 것을 깨닫게 하려면 무엇을 해야 할까?

  • 훌륭한 발견임! 이렇게 유명한 서비스에서 취약점을 찾는 것은 이력서에 매우 좋게 보일 것임. 축하함

  • "공격 체인에 필요한 복잡성 때문에 기본 금액에서 1단계 하향 조정 적용" - 이것이 일반적인가?

  • 몇몇 취약점 프로그램에만 참여했지만, 대부분은 보안 결함이 매우 간단할 때 보상을 덜 줌

  • 한 댓글러가 이미 바운티 금액이 암시장 가치와 어떻게 관련이 있는지 설명했음. 이제 많은 사람들이 Google이 보안을 충분히 중요하게 여기지 않는다고 생각할 수 있음

  • 보안 목적을 위해 가능한 한 적게 지불해야 함. 더 많이 지불하면 버그를 찾는 인센티브가 증가하고, 암시장도 증가할 수 있음

  • GTO 전략은 가능한 적은 돈으로 암시장을 차단하는 것임

  • Google에서 연구 대상을 찾고 있었고 Internal People API (Staging) 발견 문서를 조사하고 있었음. 이것이 공개되어야 할까?

  • YouTube 채널 소유자에게 이메일을 보내는 방법이 있었으면 좋겠음. 대부분 이메일 연락처가 없고, 스폰서십이나 다른 거래를 위해 연락하기 어려움

  • Google이 90일 이내에 수정되지 않은 경우 보안 취약점을 공개하는지 궁금함. 이 경우 147일 만에 수정되었음

  • 이메일 시스템이 전송되지 않도록 하는 것은 추가적인 문제임. Google과 같은 큰 회사가 많은 제품을 개발했지만, "보안"은 가짜처럼 느껴짐. 코드 한 줄 한 줄이 잠재적인 취약점이 될 수 있음

답변달기