たったの1万ドルでYouTubeユーザーのメールが簡単に手に入る！その真相とは？

悪いところもあるから、大げさに持ち上げないでよ。

マスシューティングや、警察の暴走、利益追求の医療、貧しい人々のことなど、色々と問題もあるけど、金持ちには素晴らしい国だよね。

親のコメントの皮肉を見逃してるんじゃないかな。

いいね、じゃあ出て行ってくれ。君がいなくても問題ないから。

”野心的な人にはアメリカは素晴らしい” ってことで。

私たちはそういう風に日付を書くのは、会話でそう言うからだよ：今日は2025年2月13日だ。02/13/2025。私はISO日付を使うのが好きで、ソートが簡単なんだ。

イングランドは、dd/mm/yyyyを使う英語話者の国の一例だよ。

yyyy-mm-ddはISO標準で、一番いいのは論理的に整然としていて、ソートも楽だってこと。

どちらにしても、日付を書くのに合理的な方法は2つあって、あの中間エンディアンの形式はそのうちの1つじゃない。

もう1つはアメリカ軍の形式14FEB2025だよね？それとISOだけで十分。

その軍事スタイルはリトルエンディアンを使っているから、合理的な形式のカテゴリーに入るね。しかし、ISOについてはRFC3339を指していると思う。完全なISO8601標準には、ドキュメントでしか見ないようなクレイジーな日付の表現があって。

唯一の問題は、一番重要な情報が最後に来て、最も重要でないものが最初に来ること。つまり、”最も見たい情報と文脈から推測できない情報は何か”という観点から見ると、年や月はすでにわかってる可能性が高いんだ。

最後の部分が切れちゃった時に問題になったことがある（例えば、エリプシスで）。

責任ある開示についての話が多いけど、中央集権的な永久的アイデンティティに反するデータポイントが増えるのが気になるな。このバグのおかげで、YouTubeのユーザーを特定するのが簡単になった感じがする。こういうデザインが危険だってことを企業に分かってもらうにはどうしたらいいんだろう。

＞”企業はただユーザーを守ることを抽象的にしか考えてないのを実感する。”
ある程度のプライバシーが必要だよね。でも、YouTubeプレミアムとかでお金を使う人は、結局リアルな情報を提供しないといけないから、どこかで個人情報が漏れるリスクがある。

これは理論的な問題じゃないよ。君のアイデンティティを知ってる企業は、ほぼ確実に情報を漏らすか売ってるから。

この問題は、議会が狂ったKYC法を撤回すれば解決できるよ。

KYC法を撤回しなくても解決できる方法はあるよ。

企業が気にしないのは、法的な罰則がないからだよ。医療データを漏らしたら大変なことになるのに。

OPが実在のユーザーのメールアドレスを証明のために共有したみたいだけど、再アップされた動画ではメールアドレスがぼかされてる。

このスレッドでGoogleのバグ報奨金が低いって言うコメントが多いけど、サーバー側の脆弱性はそんなに高く評価されないんだ。Googleは競争する必要なくて、発見されたらすぐに終わるから、時間が経って価値が下がることもないし。全体的にサーバー側のバグに対する報奨金が高いとは思えないけど、今回の一件は例外みたいで、特に$10,000はかなり高すぎる感じがする。

あなたのコメントに感謝するのを忘れてたかもしれないけど、ありがとう！バグ報奨金についての考えを読んでから、無思慮に小さいって言ってた自分に気づいたんだ。違法行為と合法的な活動を比べるのがいかに愚かだったかも理解したよ。

それは”間違えることで逆に良くなる”のいい例だね、ここではストップワードのフィルタリングをしてないし。

ほかの分野では生産物の黒市価格で報酬が決まることはないよ。Googleが支払った金額をこの仕事にかけた時間で割ったほうが有用だと思う。大部分の人が最低賃金以下の賃金で働いてる気がする。

”ほかのことにあなたの分析を適用すれば分かるように”
この分析は数点理由があってうまくいかないな。物理的な財に関して、中古品は新しいものより安く買えることが多いけど、特定の状況では新しいものへの需要が高くて、中古品の価格が上がることもある。

”物理的な商品の場合、中古品は常に新しいものより低い価格になる”
これは特定の状況でのみ当てはまるよ。供給チェーンに問題があると、中古品が新しい品物以上の値段で売れることもある。

”供給チェーンに問題があると新しい商品の価格が上がる”
そのコメントはリスト価格じゃなく新しい商品の話をしてるよ。供給チェーン問題で新しい商品の価格が上がるのはたしかにあることだね。

バグ報奨プログラムはセキュリティ研究者の収入源の一つでしかないよ。Googleは脆弱性を見つけるために社員に給料も払ってるし、報奨プログラムは最近の開発だから、これが多くの人の安定した職業になるべきだとは思わない。

バウンティプログラムって最近な新しい制度で、多くの人にとって安定した収入源として機能するってのは不思議だなと思う。研究者にとってバグの価値はブラックマーケットの価値で下がるし、Googleはこのバグを利用されるリスクを考えると、妥当な価格はその両方の間になるはず。ただ、Googleは今バリバリの交渉力を持ってるから、気がついたら騙されてる気になることもある。

そんなことないよ。多くの人にとって犯罪を犯すのには経済的なコストがあるし、”ブラックマーケットで売るともっと稼げる”って言われても、俺はブラックマーケットに売る気にはならん。バウンティプログラムは犯罪と競争することを目指してない。

評判の重要性は無視できない。Googleがこのバグに対して安い報酬を出してるから、この話題が注目され続けてる気がする。バグの価値は分からないけど、PR効果もあるし、開発者コミュニティへのメッセージにもなる。大規模データ侵害の低い罰金が、プライバシーの価値を教えてくれたと言える。

Googleのセキュリティに対する評判は、どの大手テック企業よりも良い方だと思う。みんなが思ってるような悪夢的な状況ではないし、今回のバグに対する支払いは大きいから、かえって宣伝になってる気がする。

全く同意です。このバグの市場価値の違いについての詳細情報に感謝。プライバシーバグの評価が低いのに、これが高額報酬ってのが現実を突きつけてる。セキュリティ研究者には明らかだけど、ユーザーデータに対する意識をどう考えているかを考えさせる一因だと思う。

今どれだけの人がこの１０,０００ドルのバグバウンティに魅力を感じてるのか考えてみて。若いコンピュータ愛好者やセキュリティ研究者が、こういう大金見てもっと学びたいと思ってるかもしれない。俺たちはそれに対して興味を持たなくても、バグバウンティプログラムは常に市場に合わせた価格を払ってるんだ。

これは要素ではあるね。多くの人は大きな報酬があれば非暴力的な犯罪を犯す。もしバグバウンティが１０,０００ドルで、ブラックマーケットで２０,０００ドルで売れるなら、多くの人は正当な現金を選ぶ。でも、もしブラックマーケットで発生するのが１０,０００,０００ドルなら、多くの人がそっちを選ぶだろうね。

それは違うんだよ。“正当な現金”ってのが問題なんだ。
・買い手は本当に興味があって購入する人なのか？それとも罠なのか？
・誰かと会うとき、相手が支払いを持ってくるか襲ってくるかリスクはないのか？
・現金２０,０００ドルをどうやって使う？周囲の疑惑を引かないか？
・もしデジタルで、相手が払うなら、その資金は調査の対象なのか？多くの未知があって、リスクも高い。多くの人は、すぐに銀行に入れて使えるクリーンな１０,０００ドルの方がいいと思う。

その“合法的な現金”ってのはリスクのないバグバウンティのことを指してるんだよね。同じことを言ってると思う。

バグを売ること自体は犯罪じゃない。Crowdfenseに売ることもできるし、会社からお金を振り込んでもらうことも可能だよ。

バグを売ることは本質的には犯罪じゃないけど、相手がそのバグを使って犯罪を犯すのを知っていたら、共犯にされる可能性が高い。脆弱性を売ることは無リスクじゃない。だから、ChromeのRCEみたいな既存のマーケットと、アドホックマーケットの違いが重要なんだ。ほとんどの売り手は、最終的なユーザーに売るんじゃなくてブローカーに売るからね。YouTubeの脆弱性にブローカーは存在しない。

標準価格リストはないけど、プラットフォームのエクスプロイトをブローカーに売ることは全く可能だよ。

もっと詳しく教えて。プラットフォームの脆弱性って何？どのブローカーのことを言ってるの？話が聞きたいけど、ちょっと疑ってるから論破されるのは簡単だよね。

これはクリプトの実用的な用途の一つを発見したってことだね。

君の考える犯罪の定義って何だろう。多くの国で法的には犯罪じゃないし、みんなの道徳観も様々だし、億万長者の会社から利益を得ることを悪いとは思わない人もいる。

ほとんどの人は、自分の行動が他人に害を与えないかを考える直感を持ってる。法律はリスクを事前に知らせてくれる便利な手段だけど、最終的には物事のリスクを避けるかどうかは、自分自身の判断だよ。

自分の給料の出所が害を引き起こすかどうか考える時間ってどれくらいある？ほとんどのテック業界の人はこの論理的に大きな害を引き起こしてる。

実はそれについてよく考えてるんだ。

多くの人は考えないよね。みんな500kの給料をもらって、次のビッグなテックプロジェクトに移るだけだし。

それを考える人もいると思うけど、テック業界の人はそれだけじゃなくて、すごい良いことにも貢献してるはず。どっちが大きいかは難しいし、ケースバイケースだね。

グレーゾーンだね。もしMr GRUが来たら、多分断るけど、CIAやMossad、BNDならどうかな？道徳観が違うかもしれないし、悩むところだ。

…それが死に繋がるって。開発者たちがまず、そのような欠陥を作らないようにもっと注意を払えばいいのに。プライバシーに関するソフトウェアの現状を知ってたら、もっと使うことに不安を感じると思う。

バグを売ることは犯罪じゃないよ。
＞バウンティプログラムは全く犯罪と競争しようとしてないよ。これについては別に言ってないから。要するに、バグをなくすことで生じる損失の相当分を支払うべきだと思う。それが適切なインセンティブになるから。

これは脆弱性だけに当てはまるの？もし私が見つけたバグでGoogleが広告を過少請求してたら、Googleは私に多額を支払う義務があるの？ OPがこの報酬が不公平だと思ってる証拠はある？

バグ見つけてGoogleの広告料金を下げる場合、報酬もらえるの？もらえないけど、少しでも報酬あれば人は助けようと思うよ。できれば黙ってないで広告主にこっそり教えるかもね。

そのバグを無くすことで得られるメリットをどう計算するのか、特にこの記事の具体例で考えてみて欲しい。

組織は未来の不確実なことを価格付けするのが得意だよね。想定されるリスクを考えて、それを掛け算して割引する。

具体的な数値を挙げて、本当に潜在的損害やリスクが１万ドルを超えるか見せてほしい。

有名なYouTuberが住所暴露されて命を落としたケース。確率は低いけど、コストは高い。データ漏洩もいろいろリスクあるよね。

誰かのメールアドレスが個人情報として使われて殺人に繋がる確率が本当に1/5000って言える？毎月何百万ものアカウントが流出してるのに、そんな事件が頻発するとは思えない。

毎月何百万ものユーザー名やメールが流出してるけど、それが事件に繋がるってことはないかもね。全てのケースで同じ確率で起きるわけじゃないから。

スレ主が言ったみたいに、国家安全保障関係者に売るって手もあるね。だからGoogleも投資しないといけない。

ここでの正しい比較はアートだと思う。基本的には報酬のゼロがあり得るし、大抵の脆弱性調査はそれだから。

“著作権のあるものの価格はネット上での移転コストに制約される”
音楽ではそれがほぼ実現されてるね。コストは正確にはゼロじゃないけど、かなり近い。

ほとんどの分野は生産されるものの闇市場の価値を基に報酬が決まっていない。
あなたの言ってることは言い回しが同じになっちゃうけど、グレー/ブラックマーケットが存在するのはその分野が十分に報酬を与えていないからだよ。

他の職業は生産物の闇市価値で補償されることはあんまりないよね。彼らは特別な情報への独占アクセスを買ってるから、これはちょっと変わった支払い方だよ。ニュース記者も興味深い話をタブロイドに持っていくことがあるし、タブロイドは高く払ってくれるんだ。

同じ結論に達したわ。バグバウンティの報酬や支払いの不確実性は全然価値がない。固定報酬契約にギャンブル要素を加えたようなもんで、ソフトウェアエンジニアとして何かを作るのが難しくなる。記事の技術スキルは基本的なことばかりで、最初の発見は運が良かっただけ。高品質な知識が必要なのは明らかだね。

グレー市場の話がちょっとあったけど、実際にはより黒市場向きのアプリケーションのようにも見えたし。グレー市場って何を指してるのか100%分からないけど、もしかしたら「機関」に売ることかもしれない。もしそうだとしたら、黒市場とグレー市場の価格が影響し合うのも納得できる。

このHNスレッドが報酬の話ばかりなのが嫌だな。でもまぁ、ソフトウェア業界の多くの人が高いバウンティを正当化したい気持ちは分かる。彼らは自分たちの職業で高いバウンティを求めているんだ。気持ち的には当たり前だよね。

お金だけが問題じゃない場合もあるよ。責任ある報告の価値が上がるってことは、全体的な責任感が増して問題の漏洩や悪用が減るってことだから。セキュリティとプライバシーをみんなで守る方法があれば、バウンティがゼロでもいいと思う。

本当に？うちの職場では予算承認が下りず、バグバウンティプログラムが却下されたばかりだ。報酬のコストが高いから、既存のセキュリティプログラムで十分だと思われてるんだよ。

この点は良い投げかけだね。Googleが１０Kバウンティを支払うのは、低所得者が安い物価の6分の1程度の感覚だよな。だから計算は直感的には分かりにくいのかも。小さな会社の方が経済的負担が軽くなると思うけど。

どうしてそう思うの？小さな会社の方がHTTPエンドポイントに対する開発者の比率が低いから、逆に負担が重いと思うんだ。

今はSWEじゃないけど、バグバウンティが有害市場より高い方がみんなのためになると思う。それが経済的にも効率的なバグハンティングにつながるし、サイバー犯罪が減る安全な世界が実現するから。

違うと思う。CNEは組織犯罪や国際的な情報コミュニティにとって非常に効果的だよ。生産性が大きすぎるから、取引可能な脆弱性の市場価格が上がり続けると思う。バグバウンティでそのプロセスが乱されることはないだろう。

面白いこと言うね。バウンティを少し上げるだけで、グレー市場が減少してセキュリティ研究をする人へのROIが増加すると思う。高いバウンティのことを履歴書に書く方が、グレー市場で売るより誇りやすくなるよ。賢い企業はバグバウンティを特定のコードの部分に注目させるツールとして使っている。

グレー市場の人と大規模バウンティの人たちとの会話から、価値の高い悪用の報酬は急速に上がると思われている。市場競争がセキュリティを改善するとは思えないけど、新しいコンポーネントへの交換や古いプロトコルの削除は、これからも役立っていくと考えてるよ。

市場競争がセキュリティ改善に効果的とは思わない。いいツールの使用は重要だが、新しいコードにはリスクがあるからだ。バウンティは短期的にはいい戦略で、今使われているコードを改善するきっかけになり得るし、ソフトウェア工学が進歩すればバウンティの価値も増すだろう。

若いコードについての懸念はよく聞くが、実際には特定のバグだけが市場価値を持つと思う。バウンティはエンジニアリングツールとして重要で、バウンティによって人々が良い脆弱性調査を行うようになるのが最も大事だ。

より新しいコードが多くのバグを生むかもしれないが、いくつかの根本的な誤りが消えるだけで新たな問題が生まれると考えている。バウンティはグレー市場の人々も合法的な道に進ませるかもしれないが、価格では勝てないのが難点だ。

もし話題が90年代半ばのレース条件に関することなら、それらの脆弱性には市場がなかった。毎年Black Hatなどで新しい脆弱性が発表されているが、どれが実際に取引可能かは安定している。

その時期には脆弱性の市場はなかった。多くの人がUnixの簡単なバグは修正され、セキュリティは改善されるだろうと考えていたが、実際にはそうはならなかった。ただし、低い障害物が無くなると、市場が変わるかもしれない。

ソフトウェアセキュリティの終わりを予測するつもりはないが、特定の問題、特にクライアントサイドの脆弱性は改善される見込みがある。さらに、大きな報酬を期待できる状況も続くと思う。

人々は自分のような人がバグを見つけて宝くじに当たる話を考えるのが好きだろう。私もその話が好きだ。でも、あなたの書き方は時に鼻につくことがある。実は、セキュリティ関連で小さな宝くじに当たったことがある。今は学校の教師をやっているが、バグバウンティは良いものだと思うが資金不足と質のばらつきが問題だ。

そう思われるのは残念だが、私はその意見を受け入れる。あなたに真剣に受け取られなくても構わない。あなたのバックグラウンドは知っているけど、スレッド内のあなたの主張は間違っている可能性がある。

意見が違うのは自由だが、インターネットでは誤解を招きやすいと思う。最近はグレー市場には関わっていない。売る側よりも、買う側としてのアドバイスをしていた。

このスレッドで話題になっているバグをブローカーに売ろうとする考えが大きな違いだと思う。グーグルやアップルについての見解は似たようなもので、あなたに宛てているのは明らかだ。

このスレッドでのバグをブローカーに売るという考えは異なると思う。大金は期待できないが、社会的プラットフォームで発言する人々を特定したいという国家機関もいると聞いている。

意見が異なるのは構わないが、私はこの件に対する本当の市場はないと思う。ただ、計画を立てるのは誰でもできると思う。

SWEの報酬は変わってて、普通はゼロだし、GitHubにあるもの見ても中流層のエンジニアが多いよね。バウンティはその間の位置づけになるのかな。結局、供給と需要の問題だと思うし、Googleが従業員にどのくらい払うかも見えるよね。関係ない話だけど、テックの億万長者が米国の実質的なVPになろうとしている。

バグのバウンティが安いと、セキュリティを気にする私たちには不満だよね。私たちが働いている組織のために、エンドユーザーのため、そして世界全体のためにも。

「脅威の行為者は、ビジネスプロセスに合った脆弱性を買う」こんな市場は存在しているの？ 例えば、”あのアカウントの正体を暴露して、反論させずに neutralize したい”みたいに。こういう攻撃者市場では悪意なき人もリスクになるし、会社が暴露すれば倫理的に問題だと思うよ。高額の報酬を Leetcode アーティストに払うなら、バグ修正を手伝ってくれる人にもそれなりに払うべきだよね。

君は実在しない市場を想像してるね。怪しい企業は少数だし、それに対して大勢の非匿名の批判者がいて影響力がある。もしそんな市場があれば、まずは顔や名前だけで人を狙うはずだし、メールアドレスなんて必要ない。でもそれが起こってないから、そんなに気にしてないんじゃないかな。

絶対にこの市場は存在すると思うよ。Cambridge Analyticaみたいな連中はデータを探し続けてる。ネット上のいろんな情報を結びつける能力はめちゃくちゃ重要だから、広告テックがデータを集めようとする理由もわかる。政治目的の影響キャンペーンみたいなことにも関わるんだよ。

ここでお金をかける簡単な方法があるよ。自分のポケットマネーでこの脆弱性に11kドル払って再販すればいいんじゃない？もし高い価値のアクティブな市場があるなら、大儲けできるよね。でも、その市場があるって確信してる人はそうやってる人がいないのが面白いよね。

もしやったら、分かるの？そしてそれをやっても協調開示を止められないよね。高額な攻撃についても同じことが言える。協調開示をする人もいるし、グレー市場で売る人もいる。でも何が取引されてるかは一般にはわからないよ。

“0xcharlieの様々なトーク”の中で、Googleサイトのウェブ認証情報の漏洩バグをビットコインで売れる可能性について触れてるのはどれ？

でも、広告テック企業はミッションを進めるために、ウェブサービスの脆弱性を買うのかな？それはComputer Fraud and Abuse Actに触れるリスクがあると思うんだけど。

彼らに脆弱性を売る必要はないし、脆弱性があることを知らせる必要もないんだよ。APIを設定して、クエリごとに請求すれば済む。

「これを無効にするサービスを設定するのは、クライアントを獲得するのに時間がかかりすぎる」そんなことを無視してるね。Googleが見つけるまでには時間がかかることもあるし、その間にマッピングしたものを記録して売り続けることはできるんだ。ただし、データが合法じゃないことが広まったら、ビジネスは大半終わるだろうけど。

そうだけど、1. Googleが見つけるまでに時間がかかることもあるし、2. その間にマッピングしたものを記録しておけば売り続けられるよ。編集：でも、法律的に問題があるデータが広まったら、ビジネスの大半は終わるだろうね。

みんながこのことを、やって捕まる確率がゼロだと勘違いしてるみたいだけど、実際どうなの？ 10K稼げると思う？ 捕まるリスクや弁護士を雇うことになったらのことも考えてみて。10Kを選ぶかな。

10Kは魅力的だけど、逃げ切る方法もあるかも。トップのYouTuberをスクレイピングするのは比較的簡単だし、そこから販売方法を考えればいい。ただし、詳細は言えないけど、価値のあるものが手に入れば、それを売るための時間や金を使うのは意味がある。

ただの理論じゃなくて、他の国がインフラを破壊するために攻撃を仕掛けてる現実を知ってますか？このスレッドで多くの人が考えている通りの話じゃないんだ。

どの国がこの情報を10万ドルで買うっていうの？どうやって売るの？ 捕まるリスクは？ ロシアが買うからと言われても、Googleに連絡して10Kで解決を目指すよ。

似たようなことを見たことがある。赤ちゃんのギフトレジストリーページをスクレイピングして売ってたマーケティングデータ会社がいた。EULAを違反してたのは間違いない。

ダークウェブマーケットでの情報販売には新しい問題ではない。もっと知りたいなら、以下の本をおすすめするよ：
「The Dark Net」－Jamie Bartlett
「We Are Anonymous」－Parmy Olson
「Future Crimes」－Marc Goodman
「Kingpin」－Kevin Poulsen

君はデータブローカーが存在するのは知っているみたいだけど、脆弱性を買ってそれを利用してデータを集めるデータブローカーはいないと思ってるの？つまり、君が考えているようにこの脆弱性を最初に売る人になるってのは、妄想に過ぎない。

これには同意する。こう考えるべきだと思う。“売り手がいると確信している” vs “grugqに連絡する”ってこと。

ここで勘違いされているのは、脆弱性を買う有望なバイヤーはいるけど、真の意味での市場はないってこと。この種の脆弱性を国家機関やその契約者に売ることが可能なコネクションのある人もいると思うけど、バグ販売のエコシステムはそれに対する需要を持っていないんだ。

実際の市場は怪しげなデータ集約業者くらいだと思う。政府はサブポエナを出すし、巨大企業は訴訟を起こすので、あまり良い顧客基盤じゃないんだよね。

彼らの主張はセキュリティ研究者のビジネスモデルを理解していない
彼らはたくさんの小さな価値の脆弱性を見つけるのが得意で、私の会社もバグバウンティプログラムをやってて、参加してる研究者の中には給料の倍以上稼いでる人もいるけど、一報酬としてはそれ以上は出せないんだ。

脆弱性は、すでに操業している企業にしか売れない。無ければ脆弱性を売るのは無理で、単なる強盗計画を手伝ってるだけだ。

彼らの言う通り。1つの脆弱性に対して$10,000は、Googleの広大なネットワークを調査するには割に合うと思う。たくさんの小さなバグを見つけるのが彼らの戦略なんだよ。

彼らは理解してないようだけど
私が言ってるのは、バグを作る側のこと。企業は自分たちの非故障を防ぐために合理的に投資すべきだと思う。

そうだね、企業は利益を優先するから、脆弱性の報告をしても他に利用するのは違法だから、彼らが買い手の唯一になる。

サーバーサイドのバグを利用する法律的なグレーゾーンは多い。特定のターゲットのデバイスを利用するための法的手続きを持つけどね。

iOS SafariからWindows Chromeに移ると市場価格が急落する例もある。トップのターゲットは多層防御してるけど、サーバーサイドはそうじゃない。

サーバーサイドのウェブバグに対して$10,000はかなり高いとは思わないか
このバグは、Googleが検知するまでにトップ1000のYoutubeアカウントのメールを取得すること。これが$10,000以上の価値がない理由は何？

メールアドレスは個人情報に近いかも
データ漏洩はよくあることで、メールはプライバシーの侵害だけど、それ以上の問題と重なることが多いから。

マーケットが無いから売れない。面白いけど高く売れるわけじゃない。Googleは競争相手がいないから安い。

攻撃を売る提案ではなく
MrBeastやPewDiePieのYoutubeメールアドレスをフィッシングリングに売る提案だよ。メールが非公開なら攻撃の可能性が高い。