Ако сте били в крак с техническите новини тази седмица, вероятно сте чували или сте виждали от първа ръка как няколко канала в YouTube са се поддали на широко разпространена кибератака. В течение на последната седмица или повече, сигурността на много канали беше компрометирана от нападатели, които се насочиха към излъчване на фалшиви потоци на живо, рекламиращи измами с биткойни. В много отношения атаката повтаря неотдавнашното проникване в Twitter, което генерира хиляди долари в измамена биткойн, след като служител на Twitter беше изплатен, за да даде достъп на хакерите.
Докато детайлите на самите хакове варират леко, остава една основна тема. Всички те се чувстват напълно разочаровани от YouTube.
И все пак сагата на YouTube е много различна от неотдавнашното нарушение на Twitter по много начини, най -вече в привидно слабия отговор на YouTube към проблема. Свързахме се с трима големи създатели на YouTube, за да разберем какво точно се е случило с техните канали и какво се е случило, когато са отишли в YouTube за помощ. Докато детайлите на самите хакове варират леко, остава една основна тема. Всички те се чувстват напълно разочаровани от YouTube.
VPN сделки: Доживотен лиценз за $ 16, месечни планове на $ 1 и повече
Говорих с Крейг Грошек, директор/собственик на Chilling Entertainment, и администратора на Chilling Tales for Dark Nights, аудио хорър развлекателен канал с повече от 1500 видеоклипа и 340 000 абонати, за случилото се.
Крейг не само беше жертва на хакването, той също беше вокален в Twitter, опитвайки се да получи помощ за много от другите създатели, които бяха засегнати от скандала. Два такива канала са „itsAamir“ и „PapaFearRaiser“. Между тях двамата имат близо два милиона абонати. Подобно на Грошек, Аамир и Йордания (PapaFearRaiser), Antle и техните канали бяха компрометирани и те също така любезно се съгласиха да споделят своите истории.
Какво стана?
Aamir, Antle и Groshek откриха, че техните акаунти в YouTube са били компрометирани през последните няколко седмици. Установено е, че и трите канала излъчват на живо видео измама с биткойни, насърчаващи потребителите да изпращат биткойни на BTC адрес с обещанието, че парите ще бъдат удвоени. Видеоклиповете изглеждаха като изображението по -долу. И тримата също установиха, че повечето, ако не и всичките им видеоклипове в YouTube са били направени частни, а каналите им са били ребрандирани. Това беше обичайно за всички хакове, които сме виждали в YouTube.
Източник: Крейг Грошек
„Каналът ми беше компрометиран на 29 юли 2020 г., около 16:00 ч. CT“, казва Грошек. „Похитителите напълно заобиколиха 2FA и не промениха паролите ми, нито се опитаха да пренасочат моя AdSense. По -скоро те зададоха всичките ми видеоклипове като частни, с изключение на три, и пуснаха биткойн измами на живо и промениха името ми на Tesla, както и логото ми. Те премахнаха всичките ми плейлисти и връзките с каналите и изтриха описанието на канала ми. '
Мнозина побързаха да плачат за смяна на SIM и някакъв 2FA байпас, тъй като някои от тези хакове се развиха. Историите и на трите ни създатели тук разкриват далеч по -зловещ начин на действие. В навечерието каналите им бяха компрометирани, Aamir, Antle и Groshek всички получиха имейли от компании, предполагаемо им предлагащи спонсорски сделки за включване на софтуер в техните канали.
„Преди две седмици получих спонсорски имейл, където ми беше казано да рекламирам видеоредактор„ Реши 16 “в канала си“, обяснява Аамир. Оказа се, че имейлът е фалшив. След като говори първо по пощата, а след това WhatsApp, на Aamir беше дадена връзка за изтегляне към софтуера. Привлечен от привидно истинската операция, Амир се опита да стартира софтуера на компютъра си, само за да получи съобщение за грешка, след което нищо. В този момент той знаеше, че нещо не е наред.
Antle (PapaFearRaiser) разказва подобна история:
По същество получих това, което изглеждаше като „професионален“ бизнес имейл. Това беше някой, който каза, че представлява компания, наречена Magix Studios, и ние ми предлагаме бизнес възможност за популяризиране на техния продукт. След като се съгласих, те ми изпратиха връзката към продукта за изтегляне (което предположих, че ще бъде безопасно, тъй като съм правил подобни неща преди и беше 100% законно) и след като изтеглих файла WinRAR и го отворих, нищо не беше се случи.
Подобно на Аамир, Антъл знаеше, че нещо не е наред със софтуера, върху който току -що е щракнал. В рамките на 60 минути целият му канал в YouTube беше компрометиран.
Джордан получи смразяваща верига от имейли, в които се посочва, че телефонът за възстановяване е бил сменен за канала му, след това да каже, че 2FA е изключен, след това отново включен, след това паролата му е променена и е влезло ново устройство. кодът беше използван за влизане в канала и тогава се появи друг сигнал за ново устройство. Най -накрая той получи имейл, за да каже, че видеоклип, озаглавен „Coinbase Live Conference: Coinbase Earn Recap 07/29/20, вече е на живо в канала му. Всичко в рамките на един час.
Източник: Jordan Antle
Подобно на Groshek и Aamir, всички видеоклипове на Antle бяха направени частни, а каналът беше ребрандиран като Coinbase Live.
Определено злонамерен софтуер
„Определено злонамерен софтуер.“ Свързах се с Rich Mogull, анализатор по сигурността на Securosis и CISO за DisruptOps, за да анализирам тези истории. „Файловете WinRAR са един от най -често срещаните източници“, продължава той, обяснявайки как хакерите могат да използват злонамерен софтуер за създаване на връзки от надежден компютър, за да променят паролата и настройките за сигурност (включително MFA или 2FA), за да поемат контрола върху акаунт. Когато изключите 2FA в Google, не получавате подкана за 2FA, за да потвърдите промяната, защото вече сте влезли като надежден потребител на надеждно устройство или браузър.
Освен това предполага, че виновният е злонамерен софтуер, а не смяна на SIM, едно от първите съобщения, които Antle получи, беше да каже, че 2FA е изключен, а не че е бил използван за влизане в друго устройство или браузър. Историите не изключват някаква атака за смяна на 2FA, SIM (и има много други компрометирани създатели, които може да са допуснали грешка от това), но изглежда предполагат, че в тези два случая атаката на зловреден софтуер е била основната причина Windows Defender каза на Aamir след като фактът, че изтеглената от него програма изглеждаше подозрителна, но тогава беше твърде късно.
Windows Defender каза на Aamir след като фактът, че изтеглената от него програма изглеждаше подозрителна, но тогава беше твърде късно.
Историята на Грошек е малко по -различна. Подобно на Aamir и Antle, той получи подозрителен имейл относно спонсорска сделка за софтуер, но след като направи допълнителни запитвания и получи връзка за изтегляне на софтуер, реши да не кликва върху него. Той обаче забеляза екранна снимка, прикрепена към имейла. Mogull казва, че това може да означава атака на злонамерен софтуер „drive-by“, при която злонамерен софтуер би могъл да се използва дори без Groshek да кликне върху връзката за изтегляне на софтуера. Mogull допълнително отбелязва, че понякога в случай на „шофиране“, дори не е нужно да четете имейла.
духовно значение на пеперудата монарх
YouTubers не са непознати да получават спонсорски оферти по имейли и Antle ми казва, че ги е получавал и преди, както реални, така и фалшиви, относно възможни сделки за спонсори. Фалшифицираните имейли са обща нишка във всяка история тук и въпреки че Грошек не е щракнал върху неговия, изглежда вероятно получаването на последващия имейл на първо място да е било достатъчно. Със сигурност има вероятност в процеса на извличане на данни от компютрите на жертвата зловредният софтуер също да е взел телефонни номера за смяна на SIM, а 2FA чрез SMS остава доста нестабилен начин за закрепване на всеки онлайн акаунт. Но изглежда, че зловредният софтуер е основният метод, използван за компрометиране на трите канала на създателите, с които говорихме.
Изпускане на топката
Ако начинът, по който изглежда, че тези акаунти са били компрометирани, не е бил достатъчно мъчителен, отговорът на YouTube е може би по -лош.
Източник: iMore
Амир туитира YouTube в нощта, когато разбра, че е хакнат, и получи DM от TeamYouTube. Както при другите създатели, той беше помолен да попълни специален формуляр, след което те казаха, че някой от екипа за хакерство на поддръжката на създатели ще се свърже по имейл.
Ако начинът, по който изглежда, че тези акаунти са били компрометирани, не е бил достатъчно мъчителен, отговорът на YouTube е може би по -лош.
От разбирането на Aamir, YouTube трябва да генерира формуляра и да изпрати на хакерски създател специална връзка, след което те имат 72 часа, за да го попълнят, само съобщението, което гласи „Ние ви дадохме достъп до този формуляр“ не съдържа такава връзка . От четвъртък, 6 август, Амир чакаше три дни, за да се свърже YouTube, след което YouTube просто му каза, че „първоначалният процес за потвърждаване на хакерски акаунт може да отнеме няколко седмици“ и че те ще се свържат . По време на писането каналът на Aamir все още е напълно компрометиран. Той все още чака отговор, всички видеоклипове на канала му все още са частни, а името на каналите все още е с марката „Ethereum Foundation [НА ЖИВО]“.
Antle разказва подобна история. „YouTube също беше много болезнено“, казва той. „По принцип те дадоха мъртви отговори и аз бях оставен на тъмно през по -голямата част от тези четири дни. Техният екип в Twitter не помогна особено и ме накара да се почувствам, че положението ми не е сериозно, когато очевидно е било така. Те наистина не ме накараха да се чувствам сякаш имат предвид моята сигурност.
За щастие на Antle, някой от YouTube всъщност се свърза отново и каналът му беше най -вече възстановен. Но все още не може да публикува видеоклипове - повече за това по -късно ...
Грошек също си върна канала, но не без бой. Той ми каза как YouTube предоставя „малко или никакви ресурси, за да обясни как да се свържа с тях и да разреша това онлайн“, без да споменава акаунти в Twitter като @TeamYouTube или форуми за поддръжка на Google. „Те не ви казват, че TeamYouTube са посредници без авторитет“, казва той, „или че тези хакове и отвличания продължават от години“.
Грошек казва, че вярата му в YouTube е толкова разклатена, че планира да напусне платформата през следващата година.
Грошек казва, че е отнела седмица, преди някой от поддръжката на YouTube Creator да се свърже по имейл, вероятно след като е публикувал във форумите за поддръжка на Google. Можете да си представите изненадата му, когато му казаха, че нямат връзка с @TeamYouTube и че ще трябва да предостави цялата информация на втори отдел отново. Не само това, но нито един отдел не би могъл да се справи директно с проблема и би трябвало да препрати информацията до техния екип по отвличане. Грошек описва опита си като „безпроблемен“ и че справянето с кризата в YouTube е причинило повече щети на него и на другите канали, отколкото на хакерите. Той продължава:
„Независимо дали операторите на канали са„ попаднали “на„ сложни фишинг атаки и т.н. “, YouTube трябва да признае, че те са основна цел за този вид атаки, и да приложи по -силни методи за защита, за да предотврати това да се случи ... Те самите признават, че това се случва толкова често те не могат да се справят.
Грошек казва, че вярата му в YouTube е толкова разклатена, че планира да напусне платформата през следващата година.
Но има още
Съмнително е не само прякото взаимодействие на YouTube със създателите. Няколко пъти тази седмица аз и други потребители на YouTube сме виждали фалшиви потоци на живо с биткойни, прехвърлени на нашите начални страници в YouTube като препоръчани видеоклипове. Наистина не можеше да измислиш.
Последиците за всички създатели, особено за Аамир (който все още няма канала си обратно) са огромни. Много създатели са загубили абонати в резултат на хакове, 1200 за Groshek и повече от 10 000 за Antle. Да не говорим за загубата на приходи от реклами, докато каналите им бяха компрометирани, както от скрити видеоклипове, така и от невъзможност за качване.
За да добавят още обиди към нараняванията, Antle и Groshek получиха предупреждения за нарушение на общността в каналите си поради потоците на живо с измама с Bitcoin.
За да добавят още обиди към нараняванията, Antle и Groshek получиха предупреждения за нарушение на общността в каналите си поради потоците на живо с измама с Bitcoin. Въпреки че вероятно е наясно с хака, YouTube отхвърли жалбата и на двамата автоматично. В туит, Antle каза:
Хей @ytcreators Аз буквално обжалвах тази стачка и точно както предполагах, тя беше отхвърлена. Можете ли да получите някакъв вътрешен екип, който да ми помогне? Това наистина не е честно. Наказват ме за хакване? pic.twitter.com/AQSlc2CIOu
- PapaFearRaiser (@TheFearRaiser) 7 август 2020 г.
За да добави обида към обидата, YouTube след това нулира наказанието за забрана на качване в канала на Antle, защото той обжалва решението. Той обжалва, че остават само четири дни от седемдневната забрана, но сега той трябва да изчака още седем дни, преди да може да качи каквито и да е видеоклипове в основния си канал, като първият от тях ще бъде предупреждение за абонатите и общността относно неговия опит.
Източник: Jordan Antle
Подобно на Antle, Groshek не успя да публикува никакви видеоклипове в канала си Chilling Tales до вчера, 7 август. Браво, YouTube.
Aamir, Antle и Groshek не са единствените създатели, засегнати от това. Забележително е, че лидерът на Apple Джон Просър е компрометирал канала си в YouTube FrontPageTech. За да се предотвратят по -нататъшни повреди, целият FPT канал беше премахнат от YouTube, три дни по -късно; не са чули нищо в отговор.
Да обобщим
Тримата създатели, с които говорихме, са само върхът на айсберга. Както споменахме по -рано, по -специално Грошек критикува гласно YouTube при обработката на десетки канали, които са били хакнати през последните дни, показвайки, че са засегнати много други създатели.
Добавяне @AdamDuffArt и @jon_prosser към списъка на тези, хакнати от измамници с биткойни тази седмица. @ctfdn_official , @TheFearRaiser , @AlexHalford , @RecDTRH , @eltito_delfifa , aamiristhis , & @KhujLeeFamily. Колко още трябва да паднат, преди да направите нещо, за да спрете това, @TeamYouTube ? pic.twitter.com/GJY4rTj6ip
- Охлаждащи приказки за тъмни нощи (@ctfdn_official) 6 август 2020 г.
Като се има предвид естеството на хаковете (биткойн потоците на живо, приватизацията на видеоклипове, промяната на имената на канали), изглежда много вероятно много от тези атаки да идват от един и същ източник. Както бе отбелязано, и тримата създатели, с които говорихме, изглежда са били изложени на зловреден софтуер чрез обещанието за спонсорски сделки за софтуер. Въпреки че само двама от трите създатели действително са изтеглили подозрителни файлове, вероятността от 'drive-by' атака чрез имейла, получен от Грошек, изглежда предполага, че зловредният софтуер, а не смяната на SIM може да е бил основният начин на атака.
Невъзможно е да се каже какво се е случило в много други случаи по отношение на тези канали, с които не сме разговаряли, и има всички възможности, че са използвани много различни методи или може би комбинация от определени подвизи за достъп до тези акаунти .
Тримата създатели, с които говорихме, са само върхът на айсберга.
Това, което не изглежда да се съмнява обаче, е колко лошо YouTube изглежда се е отнасял към създателите, с които говорихме. За тях и безброй други YouTube е техният източник на доходи и поминък. И все пак, когато отидоха в YouTube за помощ, лоша или може би липсваща комуникация, стачките за нарушения за нарушения на общността и отхвърлените жалби срещу тези стачки оставиха горчив вкус. За Грошек беше достатъчно да го убеди, че е време да напусне платформата, може и да убеди другите.
3 сутринта означава
Към момента на публикуването Google не отговори на искането ни за коментар по тази история.