Door een lek bij YouTube was deze informatie van alle gebruikers te achterhalen
©Freepik
YouTube heeft een beveiligingslek opgelost waardoor het mogelijk was om van elke gebruiker het e-mailadres te achterhalen. De onderzoeker die dit lek ontdekte, ontving 10.000 dollar als beloning voor het melden, maar er klinkt ook kritiek op de manier waarop YouTube met dit incident omging.
Via het blokkeren van een gebruiker op YouTube was het mogelijk diens Google account identifier (Gaia ID) te achterhalen, ontdekte de beveiligingsexpert Brutecat. Vervolgens bleek het mogelijk om via de Pixel Recorder van Google zelf het e-mailadres te achterhalen dat bij de Gaia ID hoort, simpelweg door een opname met de Gaia ID te delen.
Via een truc wist Brutecat te voorkomen dat degene achter de Gaia ID daar een mailnotificatie van kreeg, wat normaal automatisch gebeurt als je een opname deelt via de Pixel Recorder. Dat deed hij door de titel van de opname 2,5 miljoen tekens lang te maken, waardoor geen mail werd verstuurd.
'Kleine' beloning en trage reactie
In een tijdlijn deelt de onderzoeker hoe Google met zijn vondst is omgegaan. Midden september 2024 deelde hij zijn bevindingen, waarna hij eerst ruim 3000 dollar toegekend kreeg als beloning. Later volgde nog eens 7500 dollar. In totaal ontving hij ruim 10.000 dollar. Google heeft het lek inmiddels gedicht.
Sommige webontwikkelaars schrijven online dat ze de beloning voor het melden van dit lek, dat in principe betrekking had op alle YouTube-gebruikers, aan de lage kant vinden. Ook klinkt er kritiek omdat YouTube relatief lang deed over het oplossen van het probleem.
Lees meer over YouTube en volg de updates met ons WhatsApp-kanaal.