Uma grave vulnerabilidade de segurança no YouTube, agora corrigida, expôs os emails de milhões de utilizadores à possibilidade de ataques de phishing. A falha foi descoberta por um investigador conhecido como Brutecat, que conseguiu explorar várias vulnerabilidades em produtos da Google para aceder aos endereços de email associados a contas do YouTube. Este incidente sublinha os riscos crescentes para a privacidade online e reforça a necessidade de práticas seguras na internet.
Brutecat identificou o problema ao explorar a API interna “People API (staging)” da Google. Durante esta investigação, percebeu que bloquear um utilizador no YouTube permitia aceder ao identificador da conta Google (GAIA ID) do mesmo. Posteriormente, descobriu que este identificador também podia ser obtido sem necessidade de bloquear o utilizador, bastando clicar no menu de contexto de três pontos disponível nos canais do YouTube.
A partir daqui, o investigador recorreu a um produto antigo da Google, o Pixel Recorder, que continha uma vulnerabilidade capaz de converter o GAIA ID num endereço de email. Inicialmente, esta ação gerava uma notificação para o utilizador afetado, reduzindo o impacto do problema. No entanto, Brutecat encontrou uma forma de contornar esta limitação: ao criar títulos extremamente longos para gravações (com cerca de 2,5 milhões de caracteres), conseguiu evitar que as notificações fossem enviadas.
Google ofereceu recompensa pela descoberta
A Google foi informada sobre esta vulnerabilidade em setembro de 2024. Em resposta, a empresa corrigiu o problema e recompensou o investigador com um total de 10.633 dólares através do seu programa de recompensas por bugs. Este programa tem como objetivo incentivar especialistas em segurança a reportar falhas antes que estas sejam exploradas por cibercriminosos. Só em 2023, a Google distribuiu 10 milhões de dólares em recompensas deste tipo.
A recompensa inicial foi atribuída em novembro, com um valor de 3.133 dólares, considerando que a probabilidade de exploração era moderada. Em dezembro, após uma atualização do relatório técnico, foi concedida uma segunda recompensa no valor de 7.500 dólares, dado que o risco foi reavaliado como elevado.
Riscos para os utilizadores
Embora esta vulnerabilidade não tenha comprometido credenciais ou informações sensíveis diretamente, expôs os utilizadores ao risco de ataques de engenharia social, como phishing. Este tipo de ataque é altamente perigoso e pode levar ao roubo de identidade ou fraudes financeiras.
Os cibercriminosos podem usar emails fraudulentos para enganar as vítimas e obter informações confidenciais ou induzi-las a realizar ações prejudiciais. Para te protegeres contra este tipo de ameaça, é essencial estar atento aos seguintes sinais:
- Endereços suspeitos: verifica sempre se o email é legítimo. Endereços com substituições como “G00gle” ou “M1crosoft” são claros indícios de fraude.
- Pedidos inesperados: emails que solicitam ações urgentes (como clicar em links ou enviar dinheiro) devem ser tratados com desconfiança.
- Anexos desconhecidos: evita abrir anexos ou clicar em links enviados por remetentes desconhecidos. Até QR codes podem ser utilizados para fins maliciosos.
Além disso, é fundamental criar palavras-passe fortes e únicas para cada conta e alterá-las regularmente.
Este incidente destaca a importância da segurança digital e da vigilância constante por parte dos utilizadores. Apesar da falha ter sido corrigida pela Google, é essencial adotar boas práticas online para minimizar riscos futuros. A privacidade na internet continua a ser um desafio crescente numa era cada vez mais digitalizada.
Outros artigos interessantes:
