Bir tədqiqatçı aparıcı bir YouTube təhlükəsizlik açığı aşkar etdi. Bu açıq yabancıların bütün YouTube hesab e-maillərinə daxil olmağa imkan verdi. Bu problem artıq düzəldilmişdir, bu səbəbdən istifadəçilər mümkün qədər tez yeniləməlidirlər.

Mütəxəssislər, YouTube hesabından gələn hər hansı bir e-mаilin Google-a gətirilə biləcəyini bildiriblər. “Brutecat” adlı bir tədqiqatçı, Google məhsulları üzərində bir çox açıqları istismar edərək hər hansı bir YouTube istifadəçisinin e-mail ünvanına çatmağı bacardı, CyberNews xəbər verir. Google artıq bu açığı düzəldib, amma bu istifadəçilərin gizliliyinə ciddi təhlükə yaradır və onları sərbəstçə hücumlarla üz-üzə qoymağa səbəb ola bilər. Gündə 1 milyard saat YouTube izlənilir, təxminən 2.5 milyard istifadəçi və 51 milyon kanal mövcuddur – buna görə də gizlilik vacibdir, bununla bağlı nələr bildiyimizi araşdırmaq istəyirik.
Başa düşəniniz
Açıqlıklar, tədqiqatçının “Daxili İnsanlar API (staging)”ə “setir çəkməyə” başlayaraq aşkar etdiyi üçün tapıldı. Onlar, birisi YouTube-da sizi blokladığında, Google hesabınıza aid edəcək edəcək GAIA ID-ni sızdırıla biləcəyini tapdılar. Davam edərək, tədqiqatçı, üç nöqtəli kontekst menyusuna vurduqda, GAIA ID-nin server cavabında olduğunu tapdı, beləliklə kanalı bloklamağa ehtiyac yoxdu – bu, hər YouTube hesabına – cəmi dörd milyardına – tətbiq oluna bilər. Sonra, sonra Google məhsullarına baxarkən, cihaz Pixel Recorderin, sızdırılmış GAIA ID-ni e-mail ünvanına çevirməyə icazə verən bir xəta ilə başa çıxaraq tapdılar. Əvvəllər belə etdikdə, qurban bildiriş e-mailı alacaqdı – bu, zəiflik problemi miqyasını aşağı düşür. Ancaq bir yol tapdılar; “Biz e-mail mövzusuna bizim qeyd etdiyimiz qeydiyyatın daxil olduğunu fikirləşdikdə, sanki e-mail göndərə bilməyəcəyi e-mail.” Bu iş – və qeyd edildiyi kimi qeydiyyat adı 2,5 milyon məktəbə sonladıqlarında, “bingo! Bildiriş e-mailı yoxdur.” Bu iş üçün tədqiqatçı 10,633 dollarlık bir mükafata layiq görüldü. Əvvəlində, yazılım xidməti təminatçılarının təhlükəsizlik tədqiqatçılarına mükafatlar təklif etməsinin uzun bir təcrübəsi var, 2023-də Google 10 milyon dollar mükafat vermişdir. Xəbər, 2024-cü ilin sentyabrın 15-də göndərildi – və noyabr ayında, 3,133 dollarlıq ilk mükafat verildi, bu da harayla başa çıxma ehtimalının orta olduğu, yüksek təsirli bir istismarla əlaqələndirilmiş metodologiya kimi qiymətləndirildi. Dekabr ayında, bu dəfə, məhsul komandasının yenilənmiş bildirisindən də tərtib olunmuş olaraq, yarğıç, 7,500 dollar verildi, bu, “istismar ehtimalının yüksək olduğu, yüksək təsirli bir istismarla əlaqələndirilmiş metodologiyaya” uyğun idi.
İstifadəçilər üçün risk
Açıq bu fırını keçmək üçün bir riskin olduğunu bəlli oldu – amma istifadəçilər üçün risk nədir? Yaxşı, giriş məlumatları, şifrələr və ya digər şəxsi tanınan məlumatlar bu hücumun bir hissəsi olmadığı üçün, bu yalnızca e-mail yolu ilə sosial mühəndislik hücumları qalır. Biz ‘yalnız de’, deyirik, amma fising hücumları ciddi bir endişədir və onlar hər il milyonlarla qurban tələb edirlər – və daha ciddi cür həyat oyunçusu və ya dolandırıcılığa səbəb ola bilərlər.Əgər bir siberci bir e-mail göndərərsə, nəzərdən keçirə biləcəyiniz iri qırmızı bayraqlar var. ilk olaraq, e-mail ünvanlarına baxın – əgər onun qanuni ünvanlarından yerin G00gle və ya M1crosoft deyilsə, onu açmayın. Və ya əgər bir “dost”dan tamamilə gözlənilməz bir e-mail alırsınızsa artıq gözlədiyiniz hesabı tanımadan bir toxunma edərsiniz – xüsusilə də təklik tələb edir (məsələn, bir bağlantıya klikləməyinizi, pul göndərmənizi, hədiyyə kartı almanızı tələb edəndə) – o zaman çox şübhəli olun. E-mail aldığınız e-maillə əgər avtomatik olaraq şübhəli olursanız, daha sağlam bir mövqe üzərinə olacaqsınız. Təhlükəsiz qalmaq üçün hər hesab üçün güclü və təhlükəsiz şifrələr yaratmalı və onları xatırladığınız qədər tez-tez dəyişdirməlisiniz. Axtarırsınızsa, göndərdiyiniz e-mail hesabı naməlum və e-mail şəkilləri, bağlantılar və sənədlər içərisində olanları yoxlayın – bu şübhədir. QR kodları fəsadlı ola bilər, ona görə də təhlükəsiz olduğunu bildiyiniz heçnəni yoxlamayın.