Mastodawn

KR. Laboratories 🇺🇦Feb 16, 2025

НА YOUTUBE ВИКРИТО БАГ, ЯКИЙ ДОЗВОЛЯВ ДЕАНОНІМІЗУВАТИ МІЛЬЯРДИ ОБЛІКОВИХ ЗАПИСІВ

https://brutecat.com/articles/leaking-youtube-emails

Днями я подумав, а які є способи деанонімізації на Ютюбі... Чи можуть адміністратори каналів розкривати конфіденційну інформацію про підписників? Якщо так, то яку? І чи підписники у свою чергу можуть розкрити якусь чутливу інформацію про автора каналу або інших користувачів?

І ось, на очі мені потрапляє чергова розсилка кібербезпеки від популярного польського порталу Sekurak.pl (https://sekurak.pl/prostym-mykiem-mozna-bylo-poznac-e-maila-dowolnego-uzytkownika-youtube/), в ній розповідається про неймовірний баг-витік на Youtube.

Кожен користувач Ютюбу міг забанити іншого користувача, наприклад у публічному чаті стріму, перейти на сторінку заблокованих https://myaccount.google.com/blocklist та знайти у вихідному коді поточної сторінки ідентифікатор заблокованого - так званий GAIA ID (Google ID). А знаючи ID - пряма дорога до розкриття електронної пошти і повної деанонімізації....

Власне, так і зробив дослідник безпеки із Сінгапуру (https://x.com/brutecat). Вивчаючи API Youtube, він 15/09/2024 помітив, що при блокуванні користувача надається ідентифікатор Gaia ID у деобфускованому (відкритому!) вигляді. Далі він через сервіс Google Pixel Recorder якось зміг перетворити ID на електронну пошту. Причому, йому вдалось обійти систему "сигналізації" Google, коли Pixel Recorder сповіщає користувача, що його "пробивають". Дослідник створив окремий експлойт, який автоматично перетворює Gaia ID на email (https://www.youtube.com/watch?v=nuZiiKVej84). Йому виплачено всього лиш 10 000$ доларів, а баг пофіксили 09/02/25 (значення jsdata тепер шифрується)...

Для дослідників OSINT - це просто фантастична діра. Адже, той хто про неї знав - міг масово деанонімізувати ботів/спамерів в Youtube, і не тільки. До прикладу, так могли "пачками вичисляти" опозиціонерів, які активно коментують відео на Youtube, зливаючи їх електронні адреси відповідним спецслужбам...

Можна лише здогадуватися, скільки в загальному проіснував цей баг, хто про нього знав і хто постраждав, а також скільки існує ще інших незадокументованих лазівок в екосистемі Google...

Дотримуйтесь анонімності, вивчайте API (https://developers.google.com/people/api/rest) і буде вам щастя!

#google #youtube #deanon #deanonimization #bugs #cybersecurtiy #security #кібербезпека #itsecurity #itnews #itбезпека #infosec #infosec_news

Leaking the email of any YouTube user for $10,000

What could've been the largest data breach in the world - an attack chain on Google services to leak the email address of any YouTube channel

brutecat.com

Show thread

samir x Jan 21, 2025

The write up also doesn’t go into much detail on what you can do to mitigate this risk so here are few things that would:

- Disable message previews on Signal app
- Use a VPN with and endpoint in a neighbouring city.
- Disable unneeded push notifications.

#cloudflare #cdn #Signal #Discord #geolocation #deanonimization

Doc Edward Morbius ⭕Nov 24, 2020

44 bits

So, a redditor tracked down the location of a monolith placed in the Utah desert a few years ago, recently discovered by authorities, who did not disclose where it was.[1]

It's relatively well known that 33 distinct bits is enough to uniquely identify any individual person now alive on Earth.[2]

Geospatially, assuming 10m2 resolution, 44 bits is enough to identify any unique region on Earth's land surface (46 bits buys you the oceans).

Searching for a ~1m2 monolith visually within a 10m2 square is reasonable.

GNU units:

You have: ln((.3 * 4 * (earthradius^2) * pi)/10m^2)/ln(2)
        Definition: 43.798784
You have: ln((1 * 4 * (earthradius^2) * pi)/10m^2)/ln(2)
        Definition: 45.535749

49 bits buys 1m accuracy, 63 1cm, 69 1mm. Anywhere on Earth, land or sea.

For comparison, cellphone positioning accuracy is typically 8--600m:

3G iPhone w/ A-GPS ~ 8 meters
3G iPhone w/ wifi ~ 74 meters
3G iPhone w/ Cellular positioning ~ 600 meters

https://communityhealthmaps.nlm.nih.gov/2014/07/07/how-accurate-is-the-gps-on-my-smart-phone-part-2/

https://www.gps.gov/systems/gps/performance/accuracy/

The power of disparate data traces to rapidly narrow down search spaces on a specific item, individual, or location, is what makes #BigData aggreggation so powerful, and terrifying.

Notes:

https://old.reddit.com/r/geoguessr/comments/jzw628/help_me_find_this_obelisk_in_remote_utah/gdfbzee/ https://news.ycombinator.com/item?id=25199879

https://web.archive.org/web/20160304012305/33bits.org/about/

#privacy4 #location #33bits #44bits #data #deanonimization #DataAreLiability #surveillance #SurveillanceState #SurveillanceCapitalism

How Accurate is the GPS on my Smart Phone? (Part 2)

Community Health Maps

Leaking the email of any YouTube user for $10,000

How Accurate is the GPS on my Smart Phone? (Part&nbsp;2)

How Accurate is the GPS on my Smart Phone? (Part 2)