Upozorenje o privatnosti: Oprez s YouTube e-mailovima
U današnje vrijeme, sigurnost i privatnost na internetu su važniji nego ikad. Stručnjaci su nedavno upozorili da bi bilo koja e-pošta koja dolazi s YouTube računa mogla biti izložena ‘relativno jednostavnoj sigurnosnoj slabosti’. Istraživač poznat pod imenom Brutecat otkrio je nekoliko ranjivosti unutar Googleovih proizvoda koje omogućavaju pristup e-mail adresama korisnika YouTubea, izvještava CyberNews. Iako je Google već zakrpao ovu sigurnosnu rupu, ipak predstavlja ozbiljan rizik za privatnost korisnika, što ih može ostaviti pod prijetnjom phishing napada.
Što znamo o ranjivostima?
- Svaki dan se pregleda oko 1 milijarda sati sadržaja na YouTubeu.
- Platforma broji gotovo 2,5 milijardi korisnika i 51 milijun kanala.
- Privatnost korisnika je stoga od iznimne važnosti.
Otkrivena ranjivost potekla je iz aktivnosti istraživača koji je “istraživao Interni People API (staging)” i primijetio “nešto zanimljivo”. Naime, dolazilo je do curenja Google identifikatora korisnika kada netko blokira drugog korisnika na YouTubeu. Daljnjim istraživanjem, otkrio je da je GAIA ID uključen u odgovor servera prilikom korištenja izbornika s tri točke; to znači da nije bilo potrebe blokirati kanal, čime je potencijalno mogao zasjeniti sve YouTube račune – njih čak četiri milijarde. Istraživanjem starih Google proizvoda otkrio je da Pixel Recorder sadrži grešku koja omogućava pretvaranje izloženog GAIA ID-a u e-mail adresu.
Finansijska nagrada i Googleova reakcija
Na početku, kada je istraživač izvršio ovu operaciju, žrtva je primila e-mail obavijest, što je značajno smanjilo utjecaj ranjivosti. Međutim, kada je naslov snimke produžen na 2,5 milijuna slova, iznenađujuće se dogodilo – “bingo! Nema obavijesti.” Za otkrivanje ove greške, istraživač je nagrađen s čak 10.633 dolara. Google već dugo nudi nagrade “bug bounty” za istraživače sigurnosti, a samo u 2023. godini podijelili su 10 milijuna dolara u nagradama.
Prvi izvještaj o grešci zaprimljen je 15. rujna 2024. godine, a u studenom je dodijeljen prvi iznos od 3.133 dolara. Ova nagrada je pokazala da je “vjerojatnost zloupotrebe srednja” i da se radi o metodologiji zloupotrebe s visokim utjecajem. Do prosinca, dodano je još 7.500 dolara zbog “visoke vjerojatnosti zloupotrebe”. Google je jasno prepoznao rizik od potencijalnog zlonamjernog korištenja ove greške.
Rizik od phishing napada
Iako ne uključuje prijavu, lozinke ili druge osobne podatke, ovaj napad pomaže u provođenju social engineering napada putem e-pošte. Phishing napadi su ozbiljna prijetnja, koja svake godine odnesu milijune žrtava i mogu dovesti do puno ozbiljnijih zločina poput krađe identiteta ili prijevara.
- Provjerite adresu e-pošte: Ako primite e-mail koji dolazi s adrese poput G00gle ili M1crosoft umjesto s legitimnih adresa, nemojte ga otvarati.
- Budite oprezni s iznenadnim porukama od ‘prijatelja’: Ako primite neočekivan e-mail od prijatelja s nepoznate adrese, posebno ako zahtijeva neku akciju (klik na link, slanje novca, kupnja poklon kartice itd.), budite izuzetno sumnjičavi.
- Stvaranje jakih lozinki: Osigurajte da koristite jake i sigurne lozinke za svaki račun i mijenjajte ih redovito.
- Pazite na privitke: Ako je račun pošiljatelja nepoznat i e-mail sadrži slike, linkove ili dokumente, to je sumnjivo.
Zaključak: Ostanite budni!
Ovaj događaj naglašava koliko je važno ostati budan i oprezan dok navigiramo svijetom interneta. Edukacijom o sigurnosnim prijetnjama i obazrivošću kada je riječ o e-mailovima, možemo smanjiti rizik od postajanja žrtvama cyber kriminala. Zajedno možemo osigurati da naše digitalne informacije ostanu privatne i sigurne.
