Pokud jste tento týden drželi krok s technologickými novinkami, pravděpodobně jste slyšeli nebo jste na vlastní oči viděli, jak několik kanálů YouTube podlehlo rozšířenému kybernetickému útoku. Během zhruba posledního týdne došlo u mnoha kanálů ke kompromitaci zabezpečení útočníky, kteří zahájili vysílání falešných živých přenosů propagujících bitcoinové podvody. V mnoha ohledech útok odráží nedávné porušení na Twitteru, které generovalo tisíce dolarů v podvodných bitcoinech poté, co byl zaměstnanec Twitteru vyplacen za poskytnutí přístupu hackerům.
I když se detaily hacků mírně liší, jedno základní téma zůstává. Všichni se na YouTube cítí naprosto zklamaní.
Sága YouTube se však od nedávného porušení Twitteru v mnoha ohledech velmi liší, nejvýrazněji ve zdánlivě laxní reakci YouTube na problém. Zastihli jsme tři hlavní autory YouTube, abychom zjistili, co se přesně stalo s jejich kanály a co se stalo, když šli na YouTube o pomoc. I když se detaily hacků mírně liší, jedno základní téma zůstává. Všichni se na YouTube cítí naprosto zklamaní.
Nabídky VPN: Doživotní licence za 16 $, měsíční plány za 1 $ a více
Mluvil jsem s Craigem Groshekem, ředitelem/majitelem Chilling Entertainment a správcem Chilling Tales for Dark Nights, audio hororového zábavního kanálu s více než 1 500 videi a 340 000 předplatiteli, o tom, co se stalo.
Craig byl nejen obětí hackingu, ale byl také hlasitý na Twitteru ve snaze získat pomoc pro mnoho dalších tvůrců, kteří byli zapleteni do skandálu. Dva takové kanály jsou „itsAamir“ a „PapaFearRaiser“. Mezi nimi dvěma mají téměř dva miliony předplatitelů. Stejně jako Groshek, Aamir a Jordan (PapaFearRaiser) Antle měli oba své kanály kompromitované a příliš laskavě souhlasili, že se podělí o své příběhy.
Co se stalo?
Aamir, Antle a Groshek všichni zjistili, že jejich účty YouTube byly v průběhu posledních několika týdnů narušeny. Bylo zjištěno, že všechny tři kanály vysílají živá bitcoinová podvodná videa, která vybízejí uživatele k zasílání bitcoinů na adresu BTC s příslibem, že peníze budou zdvojnásobeny. Videa vypadala jako na obrázku níže. Všichni tři také zjistili, že většina, ne -li všechna jejich videa na YouTube, byla označena jako soukromá a jejich kanály byly přejmenovány. To bylo běžné u všech hacků, které jsme na YouTube viděli.
Zdroj: Craig Groshek
'Můj kanál byl kompromitován 29. července 2020 kolem 16:00 CT,' říká Groshek. „Únosci zcela obešli 2FA a nezměnili mi hesla ani se nepokoušeli přesměrovat můj AdSense. Spíše nastavili všechna moje videa na soukromá kromě tří a zveřejnili bitcoinové podvody naživo a změnili mé jméno na Tesla a také moje logo. Odstranili všechny mé seznamy skladeb a připojení ke kanálu a vyprázdnili můj popis kanálu. '
Když se některé z těchto hacků vyvinuly, mnoho rychle plakalo výměnu SIM a nějaký druh obtoku 2FA. Příběhy všech tří našich tvůrců zde však odhalují daleko zlověstnější způsob fungování. V době před kompromitováním jejich kanálů obdrželi Aamir, Antle a Groshek všechny e-maily od společností a údajně jim nabízely sponzorské nabídky k připojení softwaru na jejich kanály.
přidat text do fotografie iphone 6
'Před dvěma týdny jsem dostal sponzorský e -mail, kde mi bylo řečeno, abych na svém kanálu inzeroval editor videa' Vyřešit 16 ',' vysvětluje Aamir. Ukázalo se, že e -mail byl falešný. Poté, co Aamir promluvil nejprve poštou a poté WhatsApp, dostal odkaz na stažení softwaru. Aamir se nechal nalákat na zdánlivě originální operaci a pokusil se spustit software na svém počítači, ale poté se mu zobrazila chybová zpráva, pak nic. V tu chvíli věděl, že něco není v pořádku.
Antle (PapaFearRaiser) vypráví podobný příběh:
V podstatě jsem obdržel něco, co vypadalo jako „profesionální“ obchodní e -mail. To byl někdo, kdo říkal, že zastupují společnost s názvem Magix Studios a my mi nabízíme obchodní příležitost k propagaci jejich produktu. Jakmile jsem souhlasil, poslali mi přes odkaz na produkt ke stažení (což jsem předpokládal, že bude bezpečné, protože už jsem takové věci dělal a bylo to 100% legitimní) a jakmile jsem stáhl soubor WinRAR a otevřel jej, nic Stalo.
Stejně jako Aamir, Antle věděl, že něco není v pořádku se softwarem, na který právě klikl. Během 60 minut byl celý jeho kanál YouTube kompromitován.
Jordan obdržel mrazivý řetězec e -mailů s uvedením, že telefon pro obnovení byl pro jeho kanál změněn, poté řekl, že 2FA byl vypnut, poté znovu zapnut, poté bylo změněno jeho heslo a přihlášeno nové zařízení. kód byl použit k přihlášení do kanálu a poté prošlo další upozornění na nové zařízení. Nakonec dostal e -mail, že video s názvem „Coinbase Live Conference: Coinbase Earn Recap 07/29/20 bylo nyní vysíláno na jeho kanálu. To vše během jedné hodiny.
Zdroj: Jordan Antle
Stejně jako Groshek a Aamir byla všechna Antleova videa soukromá a kanál byl přejmenován na Coinbase Live.
Určitě malware
'Určitě malware.' Dohnal jsem Rich Mogulla, bezpečnostního analytika pro Securosis a CISO pro DisruptOps, abych tyto příběhy rozebral. „Soubory WinRAR jsou jedním z nejběžnějších zdrojů,“ pokračuje a vysvětluje, jak by hackeři mohli pomocí malwaru vytvářet připojení z důvěryhodného počítače k úpravě nastavení hesla a zabezpečení (včetně MFA nebo 2FA) a převzetí kontroly nad účtem. Když vypnete 2FA na Googlu, nedostanete výzvu 2FA k potvrzení změny, protože jste se již na důvěryhodném zařízení nebo prohlížeči přihlásili jako důvěryhodný uživatel.
Dále bylo naznačeno, že na vině byl malware, nikoli výměna SIM. Jednou z prvních zpráv, které Antle obdržel, bylo tvrzení, že jeho 2FA byla vypnuta, nikoli že byl použit k přihlášení do jiného zařízení nebo prohlížeče. Příběhy nevylučují nějaký druh útoku 2FA, přepínání SIM (a existuje spousta dalších kompromitovaných tvůrců, kteří se toho mohli dopustit), ale zdá se, že naznačují, že v těchto dvou případech byl primární útok malwaru způsobit. Windows Defender řekl Aamirovi poté, co se mu program, který stáhl, zdál podezřelý, ale do té doby bylo příliš pozdě.
Windows Defender řekl Aamirovi poté, co se mu program, který stáhl, zdál podezřelý, ale do té doby bylo příliš pozdě.
Groshekův příběh je trochu jiný. Stejně jako Aamir a Antle dostal podezřelý e -mail ohledně dohody o sponzorství softwaru, ale poté, co provedl další šetření a obdržel odkaz ke stažení softwaru, se rozhodl na něj neklikat. Všiml si však snímku obrazovky připojeného k e -mailu. Mogull říká, že by to mohlo naznačovat malwarový útok typu „drive-by“, přičemž malware mohl být použit, i když Groshek nekliká na odkaz ke stažení softwaru. Mogull dále poznamenává, že někdy v případě „jízdy“ ani nemusíte číst e-mail.
YouTuberům není cizí dostávat sponzorské nabídky e -mailem a Antle mi říká, že je již dříve obdržel, skutečné i falešné, ohledně možných nabídek pro sponzory. Falešné e-maily jsou běžným tématem každého příběhu, a přestože Groshek na něj neklikl, zdá se pravděpodobné, že dostat první e-mail na první místo mohlo stačit. Určitě existuje šance, že malware v průběhu získávání dat z počítačů obětí mohl také vyzvednout telefonní čísla pro výměnu SIM karty a 2FA prostřednictvím SMS zůstává docela vratký způsob, jak podpořit jakýkoli online účet. Zdá se však, že malware byl hlavní metodou používanou ke kompromitaci všech tří kanálů tvůrců, se kterými jsme mluvili.
Puštění míče
Pokud způsob, jakým se zdá, že tyto účty byly kompromitovány, nebyl dostatečně trýznivý, reakce YouTube byla pravděpodobně horší.
Zdroj: iMore
Aamir tweetoval YouTube v noci, když si uvědomil, že byl hacknut, a obdržel DM od TeamYouTube. Stejně jako u ostatních tvůrců byl požádán o vyplnění speciálního formuláře, načež řekl, že se někdo z hackerského týmu podpory tvůrců ozve e -mailem.
Pokud způsob, jakým se zdá, že tyto účty byly kompromitovány, nebyl dostatečně trýznivý, reakce YouTube byla pravděpodobně horší.
Podle Aamirova chápání musí YouTube vygenerovat formulář a zaslat hacknutému tvůrci speciální odkaz, po kterém mají 72 hodin na jeho vyplnění, pouze zpráva s textem „Dali jsme vám přístup k tomuto formuláři“ žádný takový odkaz neobsahoval . Ve čtvrtek 6. srpna Aamir čekal tři dny, než se YouTube spojí, a poté mu YouTube jednoduše řekl, že „počáteční proces potvrzení hacknutí účtu může trvat několik týdnů“ a že budou v kontaktu . V době psaní článku je Aamirův kanál stále zcela ohrožen. Stále čeká na odpověď, jeho videa z kanálů jsou stále soukromá a název kanálu je stále označen jako „Ethereum Foundation [LIVE]“.
Antle vypráví podobný příběh. 'YouTube byl také velmi bolestivý,' říká. 'V zásadě dávali mrtvé reakce a většinu těch čtyř dnů jsem nechal ve tmě.' Jejich tým na Twitteru příliš nepomohl a vyvolal ve mně pocit, že moje situace není vážná, i když evidentně byla. Opravdu ve mě nedělali pocit, že by měli na mysli moji bezpečnost. '
Naštěstí pro Antle se někdo z YouTube skutečně vrátil zpět a jeho kanál byl většinou obnoven. Stále však nemůže publikovat videa - více o tom později ...
Groshek také získal svůj kanál zpět, ale ne bez boje. Řekl mi, jak YouTube poskytuje „málo až žádné zdroje k vysvětlení, jak je kontaktovat a jak to vyřešit online“, bez zmínky o twitterových účtech, jako jsou @TeamYouTube nebo fóra podpory Google. 'Neříkají vám, že TeamYouTube jsou prostředníci bez autority,' říká, 'nebo že tyto hacky a únosy trvají roky.'
Groshek říká, že jeho víra v YouTube je tak otřesená, že plánuje příští rok platformu opustit.
Groshek říká, že trvalo týden, než se někdo z podpory pro autory YouTube obrátil e -mailem, možná poté, co zveřejnil příspěvky na fórech podpory Google. Dokážete si představit jeho překvapení, když mu bylo řečeno, že nemají žádné spojení s @TeamYouTube a že bude muset znovu poskytnout všechny informace druhému oddělení. Nejen to, ale ani jedno oddělení nedokázalo problém vyřešit přímo a muselo by předat informace svému únosovému týmu. Groshek popsal svou zkušenost jako „propastnou“ a že řešení krize na YouTube způsobilo větší škody jemu i jiným kanálům než hackerům. Pokračuje:
„Bez ohledu na to, zda provozovatelé kanálů propadli“ sofistikovaným phishingovým útokům atd., YouTube musí uznat, že jsou primárním cílem těchto druhů útoků, a zavést silnější metody ochrany, aby tomu tak nebylo ... Sami přiznávají, že se to děje tak často nemohou držet krok.
Groshek říká, že jeho víra v YouTube je tak otřesená, že plánuje příští rok platformu opustit.
Ale je toho víc
Otázná není jen přímá interakce YouTube s tvůrci. Tento týden jsem několikrát viděl já a další uživatelé YouTube falešné bitcoinové živé přenosy, které byly jako doporučená videa přesunuty na naše domovské stránky YouTube. Opravdu jsi to nemohl vymyslet.
Následky pro všechny tvůrce, zejména pro Aamira (který stále nemá svůj kanál zpět), jsou rozsáhlé. Mnoho tvůrců v důsledku hacků ztratilo předplatitele, 1 200 pro Groshek a více než 10 000 pro Antle. Nemluvě o ztrátě příjmů z reklam, zatímco jejich kanály byly ohroženy, a to jak z videí, která byla skrytá, tak z důvodu nemožnosti nahrát.
Aby se přidala další urážka zranění, Antle i Groshek obdrželi sankce za porušení komunit na svých kanálech kvůli živým streamům podvodů s bitcoiny.
Aby se přidala další urážka zranění, Antle i Groshek obdrželi sankce za porušení komunit na svých kanálech kvůli živým streamům podvodů s bitcoiny. Přestože si YouTube byl pravděpodobně vědom hacku, odvolání obou automaticky odmítl. Antle ve svém tweetu řekl:
Ahoj @ytcreators Proti této stávce jsem se doslova odvolal a jak jsem si myslel, byla zamítnuta. Můžete mi prosím pomoci nějaký interní tým, který by mi pomohl? To opravdu není fér. Jsem potrestán za hacknutí? pic.twitter.com/AQSlc2CIOu
- PapaFearRaiser (@TheFearRaiser) 7. srpna 2020
Chcete -li k urážce přidat urážku, YouTube poté resetuje trest zákazu nahrávání na Antleho kanálu, protože se proti rozsudku odvolal. Odvolal se a zbývaly jen čtyři dny sedmidenního zákazu, ale nyní musí počkat dalších sedm dní, než bude moci nahrát jakákoli videa na svůj hlavní kanál, přičemž první z nich bude varováním pro jeho předplatitele a komunitu ohledně jeho zkušenost.
Zdroj: Jordan Antle
Stejně jako Antle, ani Groshek nemohl do včerejška 7. srpna zveřejňovat na svém kanálu Chilling Tales žádná videa. Dobrá zpráva, YouTube.
Aamir, Antle a Groshek nejsou jediní tvůrci, kterých se to týká. Zejména Apple leaker Jon Prosser měl kompromitován svůj kanál YouTube FrontPageTech. Aby se zastavilo jakékoli další poškození, byl o tři dny později z YouTube odstraněn celý kanál FPT; na odpověď nic neslyšeli.
Shrnout
Tři tvůrci, se kterými jsme mluvili, jsou jen špičkou ledovce. Jak jsme již zmínili dříve, zejména Groshek vokálně kritizoval YouTube při manipulaci s desítkami kanálů, které byly v posledních dnech hacknuty, což ukazuje, že to ovlivnilo mnoho dalších tvůrců.
Přidat @AdamDuffArt a @jon_prosser na seznam těch, které tento týden hackli podvodníci s bitcoiny. @ctfdn_official , @TheFearRaiser , @AlexHalford , @RecDTRH , @eltito_delfifa , aamiristhis , & @KhujLeeFamily. Kolik dalších ještě musí padnout, než uděláte něco, abyste tomu zabránili, @TeamYouTube ? pic.twitter.com/GJY4rTj6ip
- Chilling Tales for Dark Nights (@ctfdn_official) 6. srpna 2020
Vzhledem k povaze hacků (živé přenosy bitcoinů, privatizace videí, změna názvů kanálů) se zdá vysoce pravděpodobné, že mnoho z těchto útoků pochází ze stejného zdroje. Jak již bylo uvedeno, všichni tři tvůrci, se kterými jsme hovořili, byli podle všeho vystaveni malwaru díky příslibu dohod o sponzorství softwaru. I když pouze dva ze tří tvůrců skutečně stáhli podezřelé soubory, pravděpodobnost útoku typu „drive-by“ prostřednictvím e-mailu, který Groshek obdržel, naznačuje, že primárním způsobem útoku byl spíše malware než výměna SIM.
Nelze říci, co se stalo v mnoha dalších případech týkajících se těch kanálů, se kterými jsme nemluvili, a existuje možnost, že k získání přístupu k těmto účtům bylo použito mnoho různých metod nebo možná kombinace určitých exploitů .
rozdíl mezi airpody 1 a 2
Tři tvůrci, se kterými jsme mluvili, jsou jen špičkou ledovce.
Nezdá se však, že by bylo na pochybách, jak špatně se YouTube chová k tvůrcům, se kterými jsme mluvili. Pro ně a bezpočet dalších je YouTube zdrojem příjmů a obživy. Přesto, když šli na YouTube o pomoc, špatná nebo možná žádná komunikace, stávky kanálu za porušení komunity a odmítnutí odvolání proti těmto stávkám zanechaly hořkou pachuť. Groshekovi stačilo přesvědčit ho, že je čas opustit nástupiště, možná to přesvědčí i ostatní.
V době zveřejnění společnost Google neodpověděla na naši žádost o komentář k tomuto příběhu.