พบบั๊กช่องโหว่ที่ทำให้อีเมลผู้ใช้ YouTube รั่วไหล และได้รับเงินรางวัล $10,000

 (brutecat.com)
1 คะแนน โดย GN⁺ 2025-02-13 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • ระหว่างตรวจสอบเอกสารภายในของ Google People API พบว่าเมื่อบล็อกผู้ใช้ ระบบจะใช้ Obfuscated Gaia ID ที่เรียกว่า Profile ID และ Alternate Name
  • ยืนยันได้ว่าเมื่อบล็อกผู้ใช้คนอื่นบน YouTube ค่า Gaia ID ของผู้ใช้นั้นอาจถูกแสดงบน https://myaccount.google.com/blocklist จนทำให้ข้อมูลรั่วไหล
  • Gaia ID เหล่านี้เป็นตัวระบุบัญชี Google และทำให้เกิดความเป็นไปได้ที่จะทราบอีเมลแอดเดรสของผู้ใช้ได้

ขยายผลได้กับทุกช่อง YouTube

  • นอกจากจะดู Gaia ID ของผู้ใช้ในไลฟ์แชตได้แล้ว ยังได้ตรวจสอบต่อว่าสามารถดึงข้อมูลนี้ได้กับทุกช่อง YouTube หรือไม่
  • พบว่าเมื่อคลิกเมนู “เพิ่มเติม” ของช่องบน YouTube จะมีการส่งคำขอบางอย่าง และในคำขอนั้นมี Gaia ID ของช่องรวมอยู่ด้วย
  • ยืนยันได้ว่าสามารถได้มาซึ่ง Gaia ID ของช่องผ่านคำขอเหล่านี้

การดึงอีเมลแอดเดรสผ่าน Pixel Recorder

  • ทดสอบว่าสามารถแปลง Gaia ID เป็นอีเมลแอดเดรสได้หรือไม่ผ่านผลิตภัณฑ์ของ Google ที่ชื่อ Pixel Recorder
  • เมื่อต้องการแชร์ไฟล์บันทึกเสียง พบว่าหากป้อน Gaia ID ของผู้รับ ระบบจะส่งกลับอีเมลแอดเดรสนั้น
  • จากจุดนี้จึงยืนยันได้ว่าสามารถแปลง Gaia ID เป็นอีเมลแอดเดรสได้

การได้มาซึ่งอีเมลแอดเดรสโดยไม่แจ้งเตือนเป้าหมาย

  • ระหว่างแชร์ไฟล์บันทึกเสียง มีปัญหาว่าระบบจะส่งอีเมลแจ้งเตือนไปยังเป้าหมาย
  • จากนั้นพบวิธีเลี่ยงโดยตั้งชื่อไฟล์บันทึกเสียงให้ยาวมากเป็นพิเศษ เพื่อไม่ให้อีเมลแจ้งเตือนถูกส่งออกไป

โครงสร้างของห่วงโซ่การโจมตีทั้งหมด

  1. ดึง Gaia ID ของช่องผ่านเอนด์พอยต์ /get_item_context_menu ของ YouTube
  2. ใช้ Pixel Recorder แชร์ไฟล์บันทึกเสียงที่มีชื่อยาวมากไปยังเป้าหมาย เพื่อแปลง Gaia ID เป็นอีเมลแอดเดรส
  3. ลบเป้าหมายออกจากรายการแชร์เพื่อลบร่องรอย

การรายงานและเงินรางวัล

  • 15 กันยายน 2024: รายงานช่องโหว่ไปยัง Google
  • 16 กันยายน 2024: Google รับรายงานและตอบกลับว่า Nice catch!
  • 5 พฤศจิกายน 2024: คณะกรรมการความปลอดภัยของ Google ตัดสินมอบรางวัล $3,133
  • 12 ธันวาคม 2024: ได้รับรางวัลเพิ่มเติมอีก $7,500 รวมเป็นเงินรางวัลทั้งหมด $10,633
  • 12 กุมภาพันธ์ 2025: ช่องโหว่ถูกเปิดเผย

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2025-02-13
ความคิดเห็นจาก Hacker News

  • หัวข้อนี้ทำให้รู้สึกสับสนอยู่เหมือนกัน สำหรับคนที่ไม่ได้อ่านจนจบบทความ: อีเมลที่รั่วไหลไม่ได้ทำให้พวกเขาเสียค่าใช้จ่ายใด ๆ และยังได้รับเงินรางวัลบั๊กบาวน์ตี 10,000 ดอลลาร์

  • ทุก ๆ ความเห็นที่ 3 ในเธรดนี้จะพูดว่า Google จ่ายน้อยเกินไปสำหรับบั๊กนี้ ประเด็นพื้นฐานเกี่ยวกับการประเมินช่องโหว่มีดังนี้:

    • การประเมินช่องโหว่ฝั่งเซิร์ฟเวอร์ค่อนข้างต่ำ เพราะฝั่งผู้ขายไม่ได้แข่งขันกัน
    • บั๊กแบบ full chain อย่าง Android/Chrome ซื้อขายกันในระดับหลายแสนดอลลาร์ เพราะ Google ต้องแข่งขันกับตลาดสีเทาที่มีอยู่มั่นคง
    • การเปรียบเทียบบาวน์ตีกับตลาดสีเทาเป็นการเทียบคนละเรื่อง Google จ่ายน้อยกว่าตลาดสีเทามาก เพราะไม่จำเป็นต้องใช้ exploit ที่เชื่อถือได้
    • ผู้ไม่หวังดีจะซื้อช่องโหว่ที่เข้ากับกระบวนการทำธุรกิจเดิมของตน ไม่ได้คาดเดาว่าจะเอาช่องโหว่ใหม่ไปทำอะไรได้บ้าง

  • โดยทั่วไป การจ่ายบาวน์ตีไม่ได้เป็นการประเมินความสร้างสรรค์หรือความน่าสนใจของบั๊ก แต่ในกรณีนี้ 10,000 ดอลลาร์ถือว่าสูงมากสำหรับบั๊กเว็บฝั่งเซิร์ฟเวอร์

  • กลยุทธ์ทางธุรกิจของคนที่หาบั๊กประเภทนี้คือหาหลาย ๆ บั๊ก ไม่ใช่ทุ่มเวลาหลายเดือนกับ exploit เดียวแบบการพัฒนา iOS exploit

  • คล้ายกับงานวิจัยช่องโหว่ที่ฉันทำในงานล่าสุด แต่ถ้ามีใครทำงานนี้แบบมืออาชีพก็อยากฟังความเห็นจากพวกเขา

  • มีการพูดถึง responsible disclosure แรงจูงใจ และรางวัลของมันมากมาย แต่ไม่มีเรื่องเล่าในฐานะข้อมูลโต้แย้งต่ออัตลักษณ์ถาวรแบบรวมศูนย์

  • ทุกครั้งที่เห็นบริการที่อ้างว่าทำงานได้ด้วยการลิงก์เพียงครั้งเดียวกับ Real Identity™ ก็ยิ่งเตือนใจว่าผู้ขายไม่ได้สนใจปกป้องผู้ใช้อย่างแท้จริง

  • ลองนึกภาพว่าคุณเข้าใกล้อีกไม่กี่ขั้นที่จะเปิดโปงคนที่โต้ตอบกันบน YouTube ได้ในทันที นี่คือผลกระทบที่แท้จริงของบั๊กนี้

  • เป็นเรื่องดีที่บั๊กนี้ถูกแก้แล้ว แต่บั๊กประเภทนี้คงไม่หายไปในเร็ว ๆ นี้ ต้องทำอย่างไรจึงจะทำให้ผู้ขายและบริษัทยักษ์ใหญ่ตระหนักได้ว่าการออกแบบแบบนี้มีความเสี่ยง?

  • เป็นการค้นพบที่ยอดเยี่ยม! การหาช่องโหว่ในบริการที่มีชื่อเสียงขนาดนี้จะดูดีมากในเรซูเม่ ขอแสดงความยินดี

  • "ปรับลดลง 1 ระดับจากจำนวนพื้นฐาน เนื่องจากความซับซ้อนที่จำเป็นใน attack chain" — แบบนี้เป็นเรื่องปกติหรือ?

  • ฉันเคยเข้าร่วมโครงการช่องโหว่ไม่กี่โปรแกรม แต่ส่วนใหญ่จะให้รางวัลน้อยลงเมื่อข้อบกพร่องด้านความปลอดภัยตรงไปตรงมามาก

  • มีผู้แสดงความเห็นคนหนึ่งอธิบายไปแล้วว่าจำนวนบาวน์ตีสัมพันธ์กับมูลค่าในตลาดมืดอย่างไร ตอนนี้หลายคนอาจคิดว่า Google ไม่ได้ให้ความสำคัญกับความปลอดภัยมากพอ

  • เพื่อเป้าหมายด้านความปลอดภัย ควรจ่ายให้น้อยที่สุดเท่าที่จะเป็นไปได้ การจ่ายมากขึ้นจะเพิ่มแรงจูงใจในการหาบั๊ก และอาจทำให้ตลาดมืดเติบโตขึ้นด้วย

  • กลยุทธ์ GTO คือปิดกั้นตลาดมืดด้วยเงินให้น้อยที่สุดเท่าที่ทำได้

  • ฉันกำลังมองหาเป้าหมายวิจัยใน Google และกำลังตรวจเอกสารการค้นพบ Internal People API (Staging) สิ่งนี้ควรถูกเปิดเผยต่อสาธารณะหรือไม่?

  • อยากให้มีวิธีส่งอีเมลถึงเจ้าของช่อง YouTube ได้ ส่วนใหญ่ไม่มีข้อมูลติดต่อทางอีเมล ทำให้ติดต่อยากสำหรับสปอนเซอร์ชิปหรือดีลอื่น ๆ

  • สงสัยว่า Google เปิดเผยช่องโหว่ความปลอดภัยหรือไม่หากไม่แก้ภายใน 90 วัน กรณีนี้ใช้เวลา 147 วันกว่าจะถูกแก้

  • การทำให้ระบบอีเมลไม่ถูกส่งออกไปเป็นอีกปัญหาหนึ่ง บริษัทใหญ่แบบ Google พัฒนาผลิตภัณฑ์ไว้มากมาย แต่ "ความปลอดภัย" กลับให้ความรู้สึกเหมือนของปลอม โค้ดทุกบรรทัดอาจกลายเป็นช่องโหว่ได้