A small tool to view real-world ActivityPub objects as JSON! Enter a URL
or username from Mastodon or a similar service below, and we'll send a
request with
the right
Accept
header
to the server to view the underlying object.
{
"@context": [
"https://www.w3.org/ns/activitystreams",
{
"ostatus": "http://ostatus.org#",
"atomUri": "ostatus:atomUri",
"inReplyToAtomUri": "ostatus:inReplyToAtomUri",
"conversation": "ostatus:conversation",
"sensitive": "as:sensitive",
"toot": "http://joinmastodon.org/ns#",
"votersCount": "toot:votersCount",
"litepub": "http://litepub.social/ns#",
"directMessage": "litepub:directMessage",
"blurhash": "toot:blurhash",
"focalPoint": {
"@container": "@list",
"@id": "toot:focalPoint"
},
"Hashtag": "as:Hashtag"
}
],
"id": "https://infosec.exchange/users/krlaboratories/statuses/114012565013931322",
"type": "Note",
"summary": null,
"inReplyTo": null,
"published": "2025-02-16T08:14:40Z",
"url": "https://infosec.exchange/@krlaboratories/114012565013931322",
"attributedTo": "https://infosec.exchange/users/krlaboratories",
"to": [
"https://www.w3.org/ns/activitystreams#Public"
],
"cc": [
"https://infosec.exchange/users/krlaboratories/followers"
],
"sensitive": false,
"atomUri": "https://infosec.exchange/users/krlaboratories/statuses/114012565013931322",
"inReplyToAtomUri": null,
"conversation": "tag:infosec.exchange,2025-02-16:objectId=242079788:objectType=Conversation",
"content": "<p>НА YOUTUBE ВИКРИТО БАГ, ЯКИЙ ДОЗВОЛЯВ ДЕАНОНІМІЗУВАТИ МІЛЬЯРДИ ОБЛІКОВИХ ЗАПИСІВ</p><p><a href=\"https://brutecat.com/articles/leaking-youtube-emails\" target=\"_blank\" rel=\"nofollow noopener\" translate=\"no\"><span class=\"invisible\">https://</span><span class=\"ellipsis\">brutecat.com/articles/leaking-</span><span class=\"invisible\">youtube-emails</span></a></p><p>Днями я подумав, а які є способи деанонімізації на Ютюбі... Чи можуть адміністратори каналів розкривати конфіденційну інформацію про підписників? Якщо так, то яку? І чи підписники у свою чергу можуть розкрити якусь чутливу інформацію про автора каналу або інших користувачів?</p><p>І ось, на очі мені потрапляє чергова розсилка кібербезпеки від популярного польського порталу Sekurak.pl (<a href=\"https://sekurak.pl/prostym-mykiem-mozna-bylo-poznac-e-maila-dowolnego-uzytkownika-youtube/\" target=\"_blank\" rel=\"nofollow noopener\" translate=\"no\"><span class=\"invisible\">https://</span><span class=\"ellipsis\">sekurak.pl/prostym-mykiem-mozn</span><span class=\"invisible\">a-bylo-poznac-e-maila-dowolnego-uzytkownika-youtube/</span></a>), в ній розповідається про неймовірний баг-витік на Youtube.</p><p>Кожен користувач Ютюбу міг забанити іншого користувача, наприклад у публічному чаті стріму, перейти на сторінку заблокованих <a href=\"https://myaccount.google.com/blocklist\" target=\"_blank\" rel=\"nofollow noopener\" translate=\"no\"><span class=\"invisible\">https://</span><span class=\"\">myaccount.google.com/blocklist</span><span class=\"invisible\"></span></a> та знайти у вихідному коді поточної сторінки ідентифікатор заблокованого - так званий GAIA ID (Google ID). А знаючи ID - пряма дорога до розкриття електронної пошти і повної деанонімізації....</p><p>Власне, так і зробив дослідник безпеки із Сінгапуру (<a href=\"https://x.com/brutecat\" target=\"_blank\" rel=\"nofollow noopener\" translate=\"no\"><span class=\"invisible\">https://</span><span class=\"\">x.com/brutecat</span><span class=\"invisible\"></span></a>). Вивчаючи API Youtube, він 15/09/2024 помітив, що при блокуванні користувача надається ідентифікатор Gaia ID у деобфускованому (відкритому!) вигляді. Далі він через сервіс Google Pixel Recorder якось зміг перетворити ID на електронну пошту. Причому, йому вдалось обійти систему "сигналізації" Google, коли Pixel Recorder сповіщає користувача, що його "пробивають". Дослідник створив окремий експлойт, який автоматично перетворює Gaia ID на email (<a href=\"https://www.youtube.com/watch?v=nuZiiKVej84\" target=\"_blank\" rel=\"nofollow noopener\" translate=\"no\"><span class=\"invisible\">https://www.</span><span class=\"\">youtube.com/watch?v=nuZiiKVej84</span><span class=\"invisible\"></span></a>). Йому виплачено всього лиш 10 000$ доларів, а баг пофіксили 09/02/25 (значення jsdata тепер шифрується)...</p><p>Для дослідників OSINT - це просто фантастична діра. Адже, той хто про неї знав - міг масово деанонімізувати ботів/спамерів в Youtube, і не тільки. До прикладу, так могли "пачками вичисляти" опозиціонерів, які активно коментують відео на Youtube, зливаючи їх електронні адреси відповідним спецслужбам... </p><p>Можна лише здогадуватися, скільки в загальному проіснував цей баг, хто про нього знав і хто постраждав, а також скільки існує ще інших незадокументованих лазівок в екосистемі Google...</p><p>Дотримуйтесь анонімності, вивчайте API (<a href=\"https://developers.google.com/people/api/rest\" target=\"_blank\" rel=\"nofollow noopener\" translate=\"no\"><span class=\"invisible\">https://</span><span class=\"ellipsis\">developers.google.com/people/a</span><span class=\"invisible\">pi/rest</span></a>) і буде вам щастя!</p><p><a href=\"https://infosec.exchange/tags/google\" class=\"mention hashtag\" rel=\"tag\">#<span>google</span></a> <a href=\"https://infosec.exchange/tags/youtube\" class=\"mention hashtag\" rel=\"tag\">#<span>youtube</span></a> <a href=\"https://infosec.exchange/tags/deanon\" class=\"mention hashtag\" rel=\"tag\">#<span>deanon</span></a> <a href=\"https://infosec.exchange/tags/deanonimization\" class=\"mention hashtag\" rel=\"tag\">#<span>deanonimization</span></a> <a href=\"https://infosec.exchange/tags/bugs\" class=\"mention hashtag\" rel=\"tag\">#<span>bugs</span></a> <a href=\"https://infosec.exchange/tags/cybersecurtiy\" class=\"mention hashtag\" rel=\"tag\">#<span>cybersecurtiy</span></a> <a href=\"https://infosec.exchange/tags/security\" class=\"mention hashtag\" rel=\"tag\">#<span>security</span></a> <a href=\"https://infosec.exchange/tags/%D0%BA%D1%96%D0%B1%D0%B5%D1%80%D0%B1%D0%B5%D0%B7%D0%BF%D0%B5%D0%BA%D0%B0\" class=\"mention hashtag\" rel=\"tag\">#<span>кібербезпека</span></a> <a href=\"https://infosec.exchange/tags/itsecurity\" class=\"mention hashtag\" rel=\"tag\">#<span>itsecurity</span></a> <a href=\"https://infosec.exchange/tags/itnews\" class=\"mention hashtag\" rel=\"tag\">#<span>itnews</span></a> <a href=\"https://infosec.exchange/tags/it%D0%B1%D0%B5%D0%B7%D0%BF%D0%B5%D0%BA%D0%B0\" class=\"mention hashtag\" rel=\"tag\">#<span>itбезпека</span></a> <a href=\"https://infosec.exchange/tags/infosec\" class=\"mention hashtag\" rel=\"tag\">#<span>infosec</span></a> <a href=\"https://infosec.exchange/tags/infosec_news\" class=\"mention hashtag\" rel=\"tag\">#<span>infosec_news</span></a></p>",
"contentMap": {
"uk": "<p>НА YOUTUBE ВИКРИТО БАГ, ЯКИЙ ДОЗВОЛЯВ ДЕАНОНІМІЗУВАТИ МІЛЬЯРДИ ОБЛІКОВИХ ЗАПИСІВ</p><p><a href=\"https://brutecat.com/articles/leaking-youtube-emails\" target=\"_blank\" rel=\"nofollow noopener\" translate=\"no\"><span class=\"invisible\">https://</span><span class=\"ellipsis\">brutecat.com/articles/leaking-</span><span class=\"invisible\">youtube-emails</span></a></p><p>Днями я подумав, а які є способи деанонімізації на Ютюбі... Чи можуть адміністратори каналів розкривати конфіденційну інформацію про підписників? Якщо так, то яку? І чи підписники у свою чергу можуть розкрити якусь чутливу інформацію про автора каналу або інших користувачів?</p><p>І ось, на очі мені потрапляє чергова розсилка кібербезпеки від популярного польського порталу Sekurak.pl (<a href=\"https://sekurak.pl/prostym-mykiem-mozna-bylo-poznac-e-maila-dowolnego-uzytkownika-youtube/\" target=\"_blank\" rel=\"nofollow noopener\" translate=\"no\"><span class=\"invisible\">https://</span><span class=\"ellipsis\">sekurak.pl/prostym-mykiem-mozn</span><span class=\"invisible\">a-bylo-poznac-e-maila-dowolnego-uzytkownika-youtube/</span></a>), в ній розповідається про неймовірний баг-витік на Youtube.</p><p>Кожен користувач Ютюбу міг забанити іншого користувача, наприклад у публічному чаті стріму, перейти на сторінку заблокованих <a href=\"https://myaccount.google.com/blocklist\" target=\"_blank\" rel=\"nofollow noopener\" translate=\"no\"><span class=\"invisible\">https://</span><span class=\"\">myaccount.google.com/blocklist</span><span class=\"invisible\"></span></a> та знайти у вихідному коді поточної сторінки ідентифікатор заблокованого - так званий GAIA ID (Google ID). А знаючи ID - пряма дорога до розкриття електронної пошти і повної деанонімізації....</p><p>Власне, так і зробив дослідник безпеки із Сінгапуру (<a href=\"https://x.com/brutecat\" target=\"_blank\" rel=\"nofollow noopener\" translate=\"no\"><span class=\"invisible\">https://</span><span class=\"\">x.com/brutecat</span><span class=\"invisible\"></span></a>). Вивчаючи API Youtube, він 15/09/2024 помітив, що при блокуванні користувача надається ідентифікатор Gaia ID у деобфускованому (відкритому!) вигляді. Далі він через сервіс Google Pixel Recorder якось зміг перетворити ID на електронну пошту. Причому, йому вдалось обійти систему "сигналізації" Google, коли Pixel Recorder сповіщає користувача, що його "пробивають". Дослідник створив окремий експлойт, який автоматично перетворює Gaia ID на email (<a href=\"https://www.youtube.com/watch?v=nuZiiKVej84\" target=\"_blank\" rel=\"nofollow noopener\" translate=\"no\"><span class=\"invisible\">https://www.</span><span class=\"\">youtube.com/watch?v=nuZiiKVej84</span><span class=\"invisible\"></span></a>). Йому виплачено всього лиш 10 000$ доларів, а баг пофіксили 09/02/25 (значення jsdata тепер шифрується)...</p><p>Для дослідників OSINT - це просто фантастична діра. Адже, той хто про неї знав - міг масово деанонімізувати ботів/спамерів в Youtube, і не тільки. До прикладу, так могли "пачками вичисляти" опозиціонерів, які активно коментують відео на Youtube, зливаючи їх електронні адреси відповідним спецслужбам... </p><p>Можна лише здогадуватися, скільки в загальному проіснував цей баг, хто про нього знав і хто постраждав, а також скільки існує ще інших незадокументованих лазівок в екосистемі Google...</p><p>Дотримуйтесь анонімності, вивчайте API (<a href=\"https://developers.google.com/people/api/rest\" target=\"_blank\" rel=\"nofollow noopener\" translate=\"no\"><span class=\"invisible\">https://</span><span class=\"ellipsis\">developers.google.com/people/a</span><span class=\"invisible\">pi/rest</span></a>) і буде вам щастя!</p><p><a href=\"https://infosec.exchange/tags/google\" class=\"mention hashtag\" rel=\"tag\">#<span>google</span></a> <a href=\"https://infosec.exchange/tags/youtube\" class=\"mention hashtag\" rel=\"tag\">#<span>youtube</span></a> <a href=\"https://infosec.exchange/tags/deanon\" class=\"mention hashtag\" rel=\"tag\">#<span>deanon</span></a> <a href=\"https://infosec.exchange/tags/deanonimization\" class=\"mention hashtag\" rel=\"tag\">#<span>deanonimization</span></a> <a href=\"https://infosec.exchange/tags/bugs\" class=\"mention hashtag\" rel=\"tag\">#<span>bugs</span></a> <a href=\"https://infosec.exchange/tags/cybersecurtiy\" class=\"mention hashtag\" rel=\"tag\">#<span>cybersecurtiy</span></a> <a href=\"https://infosec.exchange/tags/security\" class=\"mention hashtag\" rel=\"tag\">#<span>security</span></a> <a href=\"https://infosec.exchange/tags/%D0%BA%D1%96%D0%B1%D0%B5%D1%80%D0%B1%D0%B5%D0%B7%D0%BF%D0%B5%D0%BA%D0%B0\" class=\"mention hashtag\" rel=\"tag\">#<span>кібербезпека</span></a> <a href=\"https://infosec.exchange/tags/itsecurity\" class=\"mention hashtag\" rel=\"tag\">#<span>itsecurity</span></a> <a href=\"https://infosec.exchange/tags/itnews\" class=\"mention hashtag\" rel=\"tag\">#<span>itnews</span></a> <a href=\"https://infosec.exchange/tags/it%D0%B1%D0%B5%D0%B7%D0%BF%D0%B5%D0%BA%D0%B0\" class=\"mention hashtag\" rel=\"tag\">#<span>itбезпека</span></a> <a href=\"https://infosec.exchange/tags/infosec\" class=\"mention hashtag\" rel=\"tag\">#<span>infosec</span></a> <a href=\"https://infosec.exchange/tags/infosec_news\" class=\"mention hashtag\" rel=\"tag\">#<span>infosec_news</span></a></p>"
},
"updated": "2025-02-16T11:52:16Z",
"attachment": [
{
"type": "Document",
"mediaType": "image/png",
"url": "https://media.infosec.exchange/infosec.exchange/media_attachments/files/114/012/516/622/733/784/original/de3aff1ece0ce24c.png",
"name": null,
"blurhash": "U}OWvoazf6j[~qaxa{j[9Fj[j[fQofayfQa|",
"width": 705,
"height": 389
},
{
"type": "Document",
"mediaType": "image/png",
"url": "https://media.infosec.exchange/infosec.exchange/media_attachments/files/114/012/588/307/417/649/original/5ae5838beba97040.png",
"name": null,
"blurhash": "U25OENLNWG,IKj-BR+I:SijFsmWVEKrqt7kV",
"width": 1000,
"height": 653
},
{
"type": "Document",
"mediaType": "image/png",
"url": "https://media.infosec.exchange/infosec.exchange/media_attachments/files/114/012/517/769/499/737/original/6455048daeba27ae.png",
"name": null,
"blurhash": "URO43iRjjsay00ay-;j[%Mj[WBaz~qj[M{j[",
"width": 438,
"height": 509
},
{
"type": "Document",
"mediaType": "image/png",
"url": "https://media.infosec.exchange/infosec.exchange/media_attachments/files/114/012/531/800/757/514/original/80836ebc6374cf0e.png",
"name": null,
"blurhash": "U~NAr3~qIUIUayayayayayayayfQj[j[j@fQ",
"width": 1762,
"height": 842
}
],
"tag": [
{
"type": "Hashtag",
"href": "https://infosec.exchange/tags/google",
"name": "#google"
},
{
"type": "Hashtag",
"href": "https://infosec.exchange/tags/youtube",
"name": "#youtube"
},
{
"type": "Hashtag",
"href": "https://infosec.exchange/tags/deanon",
"name": "#deanon"
},
{
"type": "Hashtag",
"href": "https://infosec.exchange/tags/deanonimization",
"name": "#deanonimization"
},
{
"type": "Hashtag",
"href": "https://infosec.exchange/tags/bugs",
"name": "#bugs"
},
{
"type": "Hashtag",
"href": "https://infosec.exchange/tags/cybersecurtiy",
"name": "#cybersecurtiy"
},
{
"type": "Hashtag",
"href": "https://infosec.exchange/tags/security",
"name": "#security"
},
{
"type": "Hashtag",
"href": "https://infosec.exchange/tags/%D0%BA%D1%96%D0%B1%D0%B5%D1%80%D0%B1%D0%B5%D0%B7%D0%BF%D0%B5%D0%BA%D0%B0",
"name": "#кібербезпека"
},
{
"type": "Hashtag",
"href": "https://infosec.exchange/tags/itsecurity",
"name": "#itsecurity"
},
{
"type": "Hashtag",
"href": "https://infosec.exchange/tags/itnews",
"name": "#itnews"
},
{
"type": "Hashtag",
"href": "https://infosec.exchange/tags/it%D0%B1%D0%B5%D0%B7%D0%BF%D0%B5%D0%BA%D0%B0",
"name": "#itбезпека"
},
{
"type": "Hashtag",
"href": "https://infosec.exchange/tags/infosec",
"name": "#infosec"
},
{
"type": "Hashtag",
"href": "https://infosec.exchange/tags/infosec_news",
"name": "#infosec_news"
}
],
"replies": {
"id": "https://infosec.exchange/users/krlaboratories/statuses/114012565013931322/replies",
"type": "Collection",
"first": {
"type": "CollectionPage",
"next": "https://infosec.exchange/users/krlaboratories/statuses/114012565013931322/replies?only_other_accounts=true&page=true",
"partOf": "https://infosec.exchange/users/krlaboratories/statuses/114012565013931322/replies",
"items": []
}
},
"likes": {
"id": "https://infosec.exchange/users/krlaboratories/statuses/114012565013931322/likes",
"type": "Collection",
"totalItems": 5
},
"shares": {
"id": "https://infosec.exchange/users/krlaboratories/statuses/114012565013931322/shares",
"type": "Collection",
"totalItems": 5
}
}