Les experts en cybersécurité « Brutecat » et « Nathan » ont identifié une faille critique dans l’API de YouTube et de Pixel Recorder, exposant les adresses e-mail des utilisateurs. Cette brèche représente une atteinte significative à la confidentialité, d’après un rapport du site « Bleeping Computer ».
Google a confirmé avoir résolu cette vulnérabilité, qui permettait aux attaquants d’accéder aux identifiants « Google Gaia » et ainsi de récupérer les adresses e-mail des utilisateurs.
« Brutecat » a mis au jour la première étape de l’attaque, qui était exploitable depuis un mois. Il a découvert qu’en bloquant un utilisateur sur YouTube, un identifiant interne unique, appelé « Gaia ID » et utilisé sur plusieurs services Google comme Gmail et Drive, était révélé.
Par la suite, « Brutecat » a remarqué qu’en cliquant sur les trois points pour accéder à l’option de blocage dans une conversation, une requête API était déclenchée, exposant ainsi l’identifiant « Gaia ID » de l’utilisateur ciblé.
Bien que cette faille ait été détectée en septembre dernier, Google l’a corrigée le 9 février et a assuré qu’aucune exploitation malveillante n’avait été constatée.