Google telah memperbaiki dua kerentanannya yang dapat membocorkan alamat email pengguna YouTube, yang dapat merusak privasi pengguna anonim. Peneliti Brutecat dan Nathan menemukan bahwa API YouTube dan Pixel Recorder dapat digunakan untuk mendapatkan ID Gaia Google pengguna dan mengubahnya menjadi alamat email.
Bagian pertama dari rantai serangan, yang dapat dieksploitasi selama berbulan-bulan, ditemukan setelah BruteCat memeriksa API Internal People Google dan menemukan bahwa fitur “pemblokiran” jaringan Google memerlukan ID Gaia yang disamarkan dan nama tampilan.
ID Gaia adalah pengenal internal unik yang digunakan Google untuk mengelola akun di seluruh jaringan situsnya. Karena pengguna mendaftar untuk satu “Akun Google” yang digunakan di seluruh situs Google, ID ini tetap sama di Gmail, YouTube, Google Drive, dan layanan Google lainnya. Namun, ID ini tidak dimaksudkan untuk publik dan hanya digunakan secara internal untuk berbagi data antar sistem Google. Dengan mencoba fitur pemblokiran di YouTube, BruteCat menemukan bahwa ketika mencoba memblokir seseorang dalam obrolan langsung, YouTube mengungkapkan ID Gaia yang disamarkan dari orang yang diblokir dalam respons dari permintaan API /youtube/v1/live_chat/get_item_context_menu.
Peneliti menemukan bahwa dengan hanya mengklik menu tiga titik dalam obrolan, itu memicu permintaan latar belakang ke API YouTube, memungkinkan mereka untuk mengakses ID tanpa harus memblokir orang tersebut. Dengan memodifikasi panggilan API, para peneliti dapat mengambil ID Gaia dari saluran YouTube manapun, termasuk akun anonim. Google merespons dengan meningkatkan hadiah atas penemuan ini setelah peneliti menunjukkan komponen Pixel Recorder, dan akhirnya memperbaiki kerentanannya pada 9 Februari 2025. Google memastikan bahwa sekarang, pemblokiran pengguna di YouTube hanya berdampak pada YouTube dan tidak memengaruhi layanan lain.
