新 YouTube 漏洞致用户邮箱泄露

据Cybersecuritynews消息，安全研究员 Brutecat 和 Nathan 发现，YouTube 基础设施存在关键漏洞，攻击者利用谷歌账户管理系统缺陷及过时的 Pixel Recorder API，可暴露匿名频道关联邮箱。攻击始于利用 YouTube 直播聊天审核系统，通过修改 API 参数提取用户 Gaia ID，再借 Pixel Recorder API 将其转为邮箱，还能抑制通知邮件以避察觉。研究人员于 2024 年 9 月 24 日披露，谷歌起初误判为重复漏洞，后将赏金从 3133 美元提至 10633 美元并修复。谷歌称在 2025 年 2 月 9 日修复前无证据表明漏洞被利用。