YouTube 사용자 이메일 유출 취약점 발견하여 $10,000 보상금 수령

• Google의 내부 People API 문서를 조사하던 중, 사용자를 차단할 때 '프로필 ID'로 불리는 '난독화된 Gaia ID'와 '대체 이름'을 사용하는 것을 발견함
• YouTube에서 다른 사용자를 차단하면 해당 사용자의 Gaia ID가 https://myaccount.google.com/blocklist에 표시되어 노출될 수 있음을 확인
• 이러한 Gaia ID는 Google 계정 식별자로, 이를 통해 사용자의 이메일 주소를 알아낼 수 있는 가능성이 제기됨

모든 YouTube 채널로의 확장 가능성

• 라이브 채팅 사용자의 Gaia ID를 확인할 수 있을 뿐만 아니라, 모든 YouTube 채널에 대해 이 정보를 얻을 수 있는지 조사함
• YouTube에서 채널의 '더보기' 메뉴를 클릭할 때 특정 요청이 발생하며, 이 요청에 채널의 Gaia ID가 포함되어 있음을 발견함
• 이러한 요청을 통해 채널의 Gaia ID를 획득할 수 있음을 확인함

Pixel Recorder를 통한 이메일 주소 획득

• Pixel Recorder라는 Google 제품을 통해 Gaia ID를 이메일 주소로 변환할 수 있는지를 테스트함
• 녹음을 공유할 때, 수신자의 Gaia ID를 입력하면 해당 이메일 주소를 반환하는 것을 확인함
• 이를 통해 Gaia ID를 이메일 주소로 변환할 수 있음을 확인함

대상자에게 알림 없이 이메일 주소 획득

• 녹음을 공유할 때 대상자에게 알림 이메일이 전송되는 문제가 있었음
• 녹음 제목을 매우 길게 설정하여 알림 이메일이 전송되지 않도록 우회하는 방법을 발견함

전체 공격 체인의 구성

1. YouTube의 /get_item_context_menu 엔드포인트를 통해 채널의 Gaia ID를 획득
2. Pixel Recorder를 사용하여 매우 긴 제목의 녹음을 대상자와 공유하여 Gaia ID를 이메일 주소로 변환함
3. 공유 목록에서 대상자를 제거하여 흔적을 지움

보고 및 보상

• 2024년 9월 15일: Google에 취약점을 보고함
• 2024년 9월 16일: Google에서 보고를 접수하고 'Nice catch!'라는 피드백을 받음
• 2024년 11월 5일: Google 보안 패널에서 $3,133의 보상을 결정함
• 2024년 12월 12일: 추가로 $7,500의 보상을 받아 총 $10,633의 보상을 받음
• 2025년 2월 12일: 취약점이 공개됨