A Google egy súlyos biztonsági rést foltozott be, amely lehetővé tette, hogy támadók felfedjék a YouTube-felhasználók e-mail címeit, veszélyeztetve ezzel azok anonimitását. A hibát Brutecat és Nathan biztonsági kutatók fedezték fel, akik egy YouTube API-sebezhetőséget kihasználva hozzáférhettek a felhasználók Google Gaia-azonosítójához, majd azt egy régi Pixel Recorder szolgáltatáson keresztül e-mail címekké alakíthatták.
A kutatók észrevették, hogy amikor egy felhasználó a YouTube-on megnyitotta egy másik személy hárompontos menüjét a csevegésben, a háttérben egy API-hívás történt, amely tartalmazta az illető Gaia ID-jét. Ennek módosításával bármely csatorna azonosítója lekérhetővé vált, még akkor is, ha a felhasználó próbálta megőrizni anonimitását. A következő lépés az volt, hogy a kutatók megpróbálták ezt az azonosítót e-mail címmé alakítani. Bár a Google az elmúlt években megszüntette azokat az API-kat, amelyek ezt lehetővé tették, a kutatók felfedezték, hogy a Pixel Recorder webes API-ja még mindig képes erre.
A sebezhetőség kihasználásával elegendő volt egy Gaia ID-t beküldeni a Pixel Recorder megosztási funkciójába, amely ezt követően visszaküldte a hozzá tartozó e-mail címet. Ezzel a módszerrel akár milliók személyazonossága is veszélybe kerülhetett volna. A kutatók rámutattak, hogy nemcsak a YouTube, hanem más Google-szolgáltatások, például a Térkép, a Play Áruház és a Google Pay is szivárogtatta ezeket az azonosítókat, így a probléma jóval nagyobb kockázatot jelentett.
A Google-t 2024. szeptember 24-én értesítették a problémáról, amelyet végül 2025. február 9-én javítottak. Az első válaszában a vállalat azt állította, hogy a hiba egy már ismert sérülékenységhez kapcsolódik, és mindössze 3 133 dolláros, vagyis nagyjából 1,2 millió forintos jutalmat ajánlott fel a kutatóknak. Később, amikor bebizonyosodott, hogy a Pixel Recorder kihasználásával a sebezhetőség súlyosabb volt, a Google 10 633 dollárra (kb. 4 millió forintra) emelte a hibavadász jutalmat.
A vállalat végül a Gaia ID-k szivárgását és az e-mail címek felfedését is megszüntette, és biztosította, hogy a YouTube-felhasználók blokkolása ne érintsen más Google-szolgáltatásokat. A Google megerősítette, hogy a problémát teljes mértékben orvosolták, és nincs bizonyíték arra, hogy támadók aktívan kihasználták volna a hibát.
