tgoop.com/hackproglib/3922
Last Update:
Багхантер исследовал Google Internal People API и обнаружил, что функция блокировки пользователей использует обфусцированный Gaia ID (уникальный идентификатор Google-аккаунта). Оказалось, YouTube позволяет блокировать пользователей, что автоматически добавляет их в Google Blocklist.
— Достаточно заблокировать пользователя на YouTube через live-чат.
— В Google Blocklist появится его обфусцированный Gaia ID.
— При нажатии трёх точек рядом с комментарием в чате отправляется запрос:
POST /youtubei/v1/live_chat/get_item_context_menu
— Ответ содержит обфусцированный Gaia ID пользователя без необходимости блокировать его.
— Это позволяло получить Gaia ID любого YouTube-канала.
— Исследователь нашёл старый сервис Google Pixel Recorder.
— Этот сервис позволял поделиться записью, используя Gaia ID.
— В ответе сервера вместо Gaia ID возвращался email-адрес.
— При отправке записи пользователь получал уведомление на email.
— Но если название записи было очень длинным (миллионы символов), уведомление не отправлялось.
— Это позволило получить email жертвы без её ведома.
#writeup #bugbounty