أعلن باحثان في الأمن السيبراني، بروتكات وناثان, عن اكتشاف ثغرة خطيرة في واجهة برمجة التطبيقات (API) التابعة ليوتيوب وتطبيق Pixel Recorder من غوغل، مما سمح بالحصول على عناوين البريد الإلكتروني للمستخدمين. تُعد هذه الثغرة انتهاكًا صارخًا للخصوصية، خاصةً لصناع المحتوى والنشطاء الذين يفضلون الحفاظ على هوياتهم مجهولة.
كيف تعمل؟
بدأ الباحث بروتكات باكتشاف جزء من الهجوم حيث لاحظ أن عملية حظر مستخدم على يوتيوب تكشف عن معرف داخلي فريد يُعرف بـ”غايا آي دي” (Gaia ID) والذي يُستخدم في منصات غوغل الأخرى مثل جيميل ودرايف. عند النقر على الثلاث نقاط للوصول إلى زر الحظر في ملف المحادثة، ينشط طلب API يكشف عن هذا المعرف، الذي يفترض أن يكون سريًا ويُستخدم داخليًا فقط.
بعد ذلك، تعاون بروتكات مع ناثان لتجربة إمكانية تحويل “غايا آي دي” إلى عنوان بريد إلكتروني. استخدما تطبيق Pixel Recorder الذي يتيح اختبار مشاركة تسجيل يحتوي على “غايا آي دي” مشفر. ومن خلال إعادة تسمية الملف باسم يتكون من 2.5 مليون حرف، تم تعطيل نظام إشعارات البريد الإلكتروني، مما منع الضحية من تلقي أي تنبيه حول المشاركة. ثم أُرسل طلب مشاركة الملف مع المعرف، ليُحوّل فعليًا “غايا آي دي” إلى عنوان بريد إلكتروني.
ثغرة غوغل وتأثيرها على خصوصية المستخدمين
تُعتبر هذه الثغرة بمثابة خطر كبير على خصوصية المستخدمين، إذ إن معرفة عنوان البريد الإلكتروني الخاص بقناة يوتيوب قد يعرض صانعي المحتوى والمبلغين عن المخالفات إلى مخاطر أمنية. وبفضل جهود الباحثين الأمنيين بروتكات وناثان، تمكنت غوغل من إغلاق الثغرة في 9 فبراير/شباط الجاري، مؤكدين عدم وجود أي دلائل على استغلالها بشكل فعال.
أهمية إصلاح ثغرة غوغل
يُظهر هذا الاكتشاف أن أنظمة غوغل، رغم تقدمها التقني، قد تحتوي على ثغرات تعرض بيانات المستخدمين للخطر. ويُعتبر إصلاح الثغرة خطوة ضرورية للحفاظ على ثقة المستخدمين وضمان حماية خصوصيتهم في ظل الاعتماد المتزايد على الخدمات الرقمية.
ثغرة غوغل تكشف مرة أخرى التحديات الأمنية التي تواجه الشركات التكنولوجية الكبرى، حيث يتوجب عليها العمل المستمر لتأمين بيانات المستخدمين ومنع أي اختراقات قد تؤثر على الأمان الرقمي العالمي. تبقى هذه التجربة بمثابة درس مهم في أهمية الاختبارات الأمنية والتعاون بين الباحثين لتحسين معايير الحماية في العصر الرقمي.
