БЛОГ / КОММЕНТАРИИ

Канал взломали и удалили

Интернет СМИ

18.08.2018 22:16

Комментарии 80

Двухфакторная аутентификация очень слабая защита. Об этом уже написано куча статей и более серьезных работ безопасников.

1. Украсть пароль. Сотрудники активно пользуются личными ноутами на работе, это даже в эфире того же ютюба видно. Они эти ноуты таскают везде, в поездках, на прессухах и т.д. и скорее всего пихают его в публичные вайфаи. Это серьезная точка уязвимости, можно как потырить тафик прямо налету, можно подсунуть вредонос, винда это все сожрет. Дальше дело техники.

2. Собственно перехват смс. Для этого есть куча вариантов. Тупо делается дубликат симки, очень распространенный способ. Или на телефон который указан как контактный запихивается троян, очень много способов как это сделать, дыр полно. И т.д.

И вуа-ля! Если мы говорим о публичном ресурсе как канал Эха, у которого довольно много "недоброжелателей", то вполне вероятно направленная атака. И провести эту атаку может, ну не школьник, но студент 2-3 курса точно сможет.

И это все с учетом того, что все настроено как положено. Не стоит недооценивать раздолбайство, это страшная сила.

ps вот ссылка на заметку журнала Хакер еще от 2016 года, там же есть ссылка на первоисточник документ The National Institute of Standards and Technology, NIST.
xakep.ru

вот свежая новость как украли несколько миллионов в крипте взломав двухфакторную аутентификацию
xakep.ru

Константин Игоревич

19.08.18 18:22

0 1

Двухфакторная аутентификация очень слабая защита

Но что же делать, ведь даже она меня парит.

Smooth Pimp

Константин Игоревич

19.08.18 20:06

0 0

Двухфакторная аутентификация очень слабая защита. Об этом уже написано куча

вот ведь как оно! Оказывается, безопасники пары крупных западных банков, на которых я как-то работал - полные идиоты. Они даже не вступали в кучи... Не читали журналов >какер. Надо бы им послать. А, кстати, и какая же авторизация, по мнению дурнала >какер неслабая?

dime

Константин Игоревич

19.08.18 20:30

0 0

Вас в гугле забанили что ли? Я вам привел русскоязычные источники что бы понятнее было, еще в 2016 годы самая американская контора NIST признала двухфакторную аутентификацию ненадежной и более не рекомендовала ее использовать.

вот пруф заграничный, раз вы наших не любите: www.schneier.com

неслабая аутентификация по ключу, которую вы, болезый, способны сохранить от посторонних глаз.

Я тоже работал на несколько банков и даже западных в том числе. Так что кроме детсадовских коверкакний слов приведите хотя бы один пруф ваших слов. Банки не используют ничего другого, потому как пока не придумали лучше. Но это не значит что это все такое секурное что спасу не.

Константин Игоревич

dime

19.08.18 21:51

0 0

Требуется новый стандарт который все будут готовы принять, но проблема в том что никто не чешется.

Константин Игоревич

Smooth Pimp

19.08.18 21:54

0 0

Ну и Google уже с 2017 года плавно начал отказываться от двухфакторной аутентификации:
gsuiteupdates.googleblog.com

Константин Игоревич

dime

19.08.18 22:07

0 0

Я вам привел русскоязычные источники что бы понятнее было,

журнал какер к источникам не относится. Вы ещё журнал мурзилку бы привели.

от пруф заграничный, раз вы наших не любите: www.schneier.com/blog/archives/2016/08/nist_is_no_long.html
неслабая аутентификация по ключу, которую вы, болезый, способны сохранить от посторонних глаз.

вы сами-то его читали, кроме одной фразы? Там внутри про как раз про многофакторную (втч двухфакторную) аутентификацию написано. Аутентификация по "неслабому" ключу ничем принципиально не отличается от любой другой однофакторной аутентификации. Система становится уязыимой при компроментации единственного фактора и совершенно не важно простая это парольная защита или неслабый ключ. Стырили ноут, как вы сами и описали - и аляулю, вся "неслабая", по мнению какера защита, насмарку. Именно поэтому придумали второй (третий и тд) фактор аутентификации.

приведите хотя бы один пруф ваших слов

какого рода пруф? В одном банке первый фактор - логин-пароль, второй фактор - генератор токенов. В другом банке, гм, там целых три фактора - логин-пароль + секурити кард + сертификат.

Банки не используют ничего другого, потому как пока не придумали лучше.

разумеется. Два фактора лучше, чем один. Три - ещё лучше. Дальше уже сильно неудобно. Ничего лучшего ещё не придумано.

Но это не значит что это все такое секурное что спасу не.

смотря как этим пользоваться. Сдуру-то можно и хрен сломать.

Да, и не читайте журналов какер. Это просто смешно.

dime

Константин Игоревич

19.08.18 22:45

0 0

Требуется новый стандарт который все будут готовы принять, но проблема в том что никто не чешется.

какой стандарт? Опишите его.

dime

Константин Игоревич

19.08.18 22:50

0 0

Вот только давайте не будем путать двухфакторную аутентификацию вообще и авторизацию через смс.
Гугл неоднократно писал, что смс - это слабозащищенный канал, и в серьезных случаях его использовать не стоит.
А вот использование в качестве второго фактора хардварных токенов наоборот, показало себя с самой лучшей стороны, и всячески гуглом приветствуется.
В вашей же ссылке это сказано черным по белому.
Вы сами-то читали?

dredkin

Константин Игоревич

19.08.18 23:20

0 0

Давайте я перефразирую, что бы до вас дошло. Прежде всего под двухфакторной аутентификацией подразумевается что второй фактор это одноразовое смс. И в ютюбе именно так. При том имея контроль только над этим фактором, даже не зная пароля первого, можно легко войти в целевую систему. Это стандартный паттерн который все (почти) используют, через "забыли пароль" можно обнулить первый фактор и войти. И ютюб тоже. Соль проблемы в том, что очень легко перехватить смс. Что же касается банков, то для физиков я максимум что видел, это карточка с одноразовыми заранее сгенерированными паролями, которая выдается клиенту. Для юриков как вы т пишете, все серьезнее. Разумеется это другой уровень безопасности и тут вопросов то нет. Но если второй фактор очень слабый и при его помощи можно обойти первый, становится даже хуже чем только логин-пароль.

И не надо говорить мне что читать, а что нет. Сами бы лучше поучились читать и видеть в тексте не то что вам кажется, а то что там написано.

Константин Игоревич

dime

20.08.18 00:41

0 1

Требуется новый стандарт который все будут готовы принять, но проблема в том что никто не чешется.какой стандарт? Опишите его.

Без одноразовых смс, что бы второй фактор не мог скомпрометировать первый и был надежен не менее первого.

Константин Игоревич

dime

20.08.18 00:42

0 0

Вот только давайте не будем путать двухфакторную аутентификацию вообще и авторизацию через смс.Гугл неоднократно писал, что смс - это слабозащищенный канал, и в серьезных случаях его использовать не стоит.А вот использование в качестве второго фактора хардварных токенов наоборот, показало себя с самой лучшей стороны, и всячески гуглом приветствуется.В вашей же ссылке это сказано черным по белому.Вы сами-то читали?

Мы сами читали! А с каких пор в ютюбе вторым фактором не смс, а хардварный токен? Мы же говорим в контексте конкретного случая с ютуб акаунтом Эха. То что сама технология вцелом, с надежным вторым фактором хороша, вопросов нет.

И потом, львиная доля ресурсов в интернете вторым фактором использует именно смс, есть конечно исключения но их мало, даже в финансовой сфере.

Константин Игоревич

dredkin

20.08.18 01:36

0 0

Прежде всего под двухфакторной аутентификацией подразумевается что второй фактор это одноразовое смс. И в ютюбе именно так

нет, конечно. Может читатели журнала >какер (я ничего не искажаю, у них так на обложке написано!) это и подразумевают, но это не так. Прежде всего, под двухфакторной авторизацией подразумевается наличие второго фактора. У гугла 3 (буквами - три!) варианта выбора второго фактора.

При том имея контроль только над этим фактором, даже не зная пароля первого, можно легко войти в целевую систему

это вы тоже в журнале >какер прочли? Так вот - это враньё.

Это стандартный паттерн который все (почти) используют, через "забыли пароль" можно обнулить первый фактор и войти. И ютюб тоже.

возможно, это использует журнал >какер, но это проблема журнала и той школоты, что следует его вредоносным советам. У гугла второй фактор и резервный метод входа - разные сущности.

Что же касается банков, то для физиков я максимум что видел, это карточка с одноразовыми заранее сгенерированными паролями

то есть вы ничего не видели, но чушь несёте с очень умным видом.

Но если второй фактор очень слабый и при его помощи можно обойти первый, становится даже хуже чем только логин-пароль

ох уж эти читатели какера.. Такой бред несут, аж уши вянут.

И не надо говорить мне что читать, а что нет

Можете ещё журналы плоскоземельщиков почитать.

Сами бы лучше поучились читать и видеть в тексте не то что вам кажется, а то что там написано

а написано там вот что:
Authenticator Assurance Level 1: AAL1 provides some assurance that the claimant controls an authenticator bound to the subscriber’s account. AAL1 requires either single-factor or multi-factor authentication using a wide range of available authentication technologies. Successful authentication requires that the claimant prove possession and control of the authenticator through a secure authentication protocol.

Authenticator Assurance Level 2: AAL2 provides high confidence that the claimant controls an authenticator(s) bound to the subscriber’s account. Proof of possession and control of two different authentication factors is required through secure authentication protocol(s). Approved cryptographic techniques are required at AAL2 and above.

Authenticator Assurance Level 3: AAL3 provides very high confidence that the claimant controls authenticator(s) bound to the subscriber’s account. Authentication at AAL3 is based on proof of possession of a key through a cryptographic protocol. AAL3 authentication requires a hardware-based authenticator and an authenticator that provides verifier impersonation resistance; the same device may fulfill both these requirements. In order to authenticate at AAL3, claimants are required to prove possession and control of two distinct authentication factors through secure authentication protocol(s). Approved cryptographic techniques are required

Начиная со второго уровня двухфакттрная аутентификация обязательна. На первом, самом простом уровне, не обязательна, но возможна.
Читайте то, что написано, а не бред из журнала >какер. Вы прямо наглядно и на примере показали, что даже предвыборные обещания путина содержат меньше вранья, чем статьи из >какера.

dime

Константин Игоревич

20.08.18 01:44

0 0

А с каких пор в ютюбе вторым фактором не смс, а хардварный токен?

софтверный. С 2012-го года. Хардверный тоже можно, с каких пор не знаю. Ой, >какерам это не сообщили? Какой ужос! Ну, продолжайте отстаивать право читать помойную прессу.

dime

Константин Игоревич

20.08.18 01:51

0 0

Что же касается банков, то для физиков я максимум что видел, это карточка с одноразовыми заранее сгенерированными паролями, которая выдается клиенту.

Почитайте для примера: www.demos.ru .

У меня лежит в сумке такой генератор от одного из банков (для личного счета). Сначала вводишь пароль, потом система спрашивает токен: нажимаешь на брелоке и вводишь отображенный код. Неудобно безумно, но куда деваться.

Похожая штука есть и у майкрософта в его аутентификаторе - и это, кстати, более безопасно. Токен в сумке - любой может его вытащить, нажать на кнопку и получить код, поэтому это спасает от массированных атак, но вот при атаке "изнутри" может не спасти. Например, ушлый коллега подглядел пароль, дождался, пока ушел на горшок, и вытащил токен из сумки. Токен, конечно, можно и с собой таскать, но это лишь уменьшает простоту физического доступа к нему, но полностью не исключает.

А в телефоне так код получить уже сложнее, особенно если вход в телефон на глазах у других людей осуществляется только через отпечаток пальца.

Вообще, как я уже тут писал - взломать можно все, что угодно; главное - чтобы была цель, оправдывающая средства. И средства на такие средства, конечно 😄))

Dyadka4

Константин Игоревич

20.08.18 10:06

0 0

Ну не знаю... У меня счета в нескольких латвийских банках и везде уже минимум год используется вот эта технология - www.smart-id.com
ИМХО очень удобно и надёжно.

Alex Krycek

Константин Игоревич

27.08.18 09:30

0 0

У YouTube это случается с завидной регулярностью. Кто-то там решает, что количество подписчиков накручено ботами, и канал удаляют. Потом владелец бегает по потолку, "предъявляет ваши доказательства", и канал восстанавливают. Но уже без листа подписчиков.

velgen

19.08.18 12:48

0 0

Как уже здесь писали, взлом мог быть осуществлен посредством трояна, который занесли на компьютеры радиостанции. Сам троян мог установить кто-то из сотрудников (преднамеренно, или нет), мог быть взлом их wi-fi сети (не Пентагон же, ей богу), могли и смартфон чей-то задифейсить, и оттуда уже продолжать атаку.

Почему говоря о взломе все понимают под этим какой-то там прямой подбор паролей к аккаунту, или какую-то атаку непосредственно на целевую систему (ога, "пригоженские тролли"
нашли уязвимость в youtube). Конечно же нет. Это может и социальная инженерия быть, с фишингом, подкупом сотрудника, и утечка паролей с троянизированной машины (возможно это было даже не целенаправленно, просто кто-то случайно получил от своего ботнета данные, опа, а там "Эхо", ну и перепродали каким-нибудь "ольгинским" чтоб те устроили безобразие. Ну и как я уже писал, это может быть взлом wi-fi сети офиса (или взлом самого маршрутизатора), ибо, редакция находится в здании с кучей других офисов (можно быть в зоне досягаемости сигнала и спокойно вести взлом сидя за стеночкой), а эксплоиты для взлома WPA/WPA2 это вовсе никакая не фантастика.

ЗЫ: Как восстановили? Ну написали в саппорт, представились, объяснили ситуацию. Естественно со стороны юзера физически ничего не удаляется (по крайней мере не сразу), так что в саппорте просто отменили удаление и все вернулось.

unlaba

19.08.18 11:26

0 1

Вот-вот! Все верно, вариантов мильон на самом деле.

Константин Игоревич

unlaba

19.08.18 18:24

0 0

а что слово дедик уже никому ничего не говорит ? Я уже не говорю про API , увод токена...и т .д. Помнится даже у Алекса на проданном телефоне кто-то спокойно работал с его токеном от какого то приложения

Curilka

19.08.18 09:41

1 0

И что должно говорить слово дедик и апи? Там товарищ ниже ещё слово ддос вспомнил. Журнала ">какер" начитались и умными словами хвастаете? >какер через апи задидосил канал ютюба(!) на дедике, ага.

dime

Curilka

19.08.18 10:35

0 0

И что дедик, что API и что увод токена? И кто же у меня на проданном телефоне работал с моим токеном от какого-то приложения - об этой чудесной истории я слышу в первый раз в жизни.

Alex Exler

Curilka

19.08.18 11:00

0 0

а что слово дедик уже никому ничего не говорит ? Я уже не говорю про API , увод токена...и т .д.

Феерический бред. Сразу напомнило: "Я знаю каратэ, кунг-фу, дзюдо и еще много других страшных слов"

Blue Sky

Curilka

23.08.18 12:50

0 0

"Не приписывайте злому умыслу то, что легко объясняется простым раздолбайством".

TimeWaster

19.08.18 09:04

0 6

Помню, когда только запустили новый сайт Эха, Веник носился с этим вот "зарегистрированный пользователь". Типа, если зарегистрирован, то твои каменты сразу появляются в ленте, а если нет, то повисают где-то там на модерации. Ну, всё вроде бы логично, так у всех, но дьявол в деталях. Для того, чтобы стать "зарегистрированным" на Эхе вовсе не надо было прописывать свой email, идти в ящик, подтверждать его и т.д. Нужно было просто в поле отправки камента вбить любую чушь с @ и всё -- твой камент появлялся мгновенно как от зарегистрированного пользователя.
И так вот всё у них (при всём уважении). А ещё могли девайс с настроенным Ютубом тиснуть...

egi

19.08.18 07:22

0 0

секьюрити май эсс. Банки взламывают, а тут пароль Венедиктова.

Ну, кто-то получил список подписчиков, на всякий случай.

runcyclexcski

19.08.18 02:38

0 0

Вообще-то, как показывает жизнь, все неприятности объясняются всего тремя причинами:
1. Полтергейст.
2. Нонсенс.
3. Позитронно-квантовое запаздывание (это самый простой случай, когда пользователь совершает правильные действия в неправильное время или в неправильной последовательности).
А если конкретно, при таких исходных данных очень может помочь осадок в чашке от кофе. Ну и Рябцева, конечно.

MetaReks

19.08.18 02:29

0 7

Не удивлён.
Через всё, что делает ААВ и его станция, красной нитью проходит небрежность и непрофессионализм. И виной тому - их монопольное положение в этом сегменте рынка.

BOPOHOK

19.08.18 01:29

3 3

А вот соглашусь. Сайт "Эха" самый кривой из тех, на которые захожу регулярно. Эти их paper clips отвратно выглядят by design из-за разной длины, так еще и криво реализованы, поэтому налазят друг на друга. Попробуйте в теле статьи выделить что-то чтобы загуглить по правому клику, фиг вам. Достоинством трансляций в ютуб называется возможность послушать, о чем гости с хостами разговаривают в рекламных паузах, ага, счас, уровень громкости в эти моменты падает иногда до полной неслышимости. Очевидно, что техобеспечением занимаются либо студенты за еду, либо взятые по блату родственники/знакомые. В-общем, уверен, как говорят в армии, канал у них не с..здили, канал они про..али.

малчик

BOPOHOK

19.08.18 07:11

0 4

Монопольное положение в сегменте рынка эфирного радио? Вы серьёзно?

dime

BOPOHOK

19.08.18 10:37

1 0

Монопольное положение? Оборжаться...

Alex Exler

BOPOHOK

19.08.18 11:02

0 1

Про сайт - это точно. Однажды зашел туда случайно без адблока - ну и редкостная помойка, втыкать рекламу даже после каждого абзаца длинного текста - это что-то. И мобильная версия ужас-ужас, так мало того, никак не могут хотя бы в куках сделать, чтобы запоминался выбор "показывать полную версию", каждый раз в телефоне меедленно пытается загрузиться мобильная версия, а потом меедлненно чуть менее неудобная полная

traveller

малчик

19.08.18 11:25

0 1

Он имеет в виду монопольное положение в сегменте "независимые от власти и ее позиции".

Camel1000

dime

19.08.18 12:24

0 0

Да, сайт говно.

Camel1000

малчик

19.08.18 12:25

0 1

News & politics talk radio?
Подкажите кто ещё в этом сегменте, и я их с интересом послушаю.

BOPOHOK

Alex Exler

19.08.18 12:53

1 0

News & politics talk radio?Подкажите кто ещё в этом сегменте, и я их с интересом послушаю.

дык, традиционные радио свобода и бибиси? Или их уже запретили?

ЗЫ а ещё этот... Маяк!

dime

BOPOHOK

19.08.18 17:19

0 0

У меня на первом месте по кривизне сайт сноба, из за перегруженности рекламой на первом айпаде не открывается вообще. Сайт эха на втором (и последнем, все остальные сайты работают), открывается через раз

Andrew_Rostov

малчик

19.08.18 17:38

0 0

Вы всерьёз или стебаетесь?
AM против FM - это не конкуренция.
"Маяк" - это не talk radio.

BOPOHOK

dime

19.08.18 23:43

0 0

Вы всерьёз или стебаетесь?
AM против FM - это не конкуренция

так вы послушать хотели или себя показать?
И что, talk radio всерьёз слушают эфирными приёмниками? Бросьте, только некоторые по дороге на работу в авто же. Остальные давно пользуются интернет-вещанием и подкастами.

dime

BOPOHOK

20.08.18 09:37

0 0

И что, talk radio всерьёз слушают эфирными приёмниками? Бросьте, только некоторые по дороге на работу в авто же. Остальные давно пользуются интернет-вещанием и подкастами.

Про бритву Хитченса слыхали? "What can be asserted without evidence can be dismissed without evidence".
По данным TNS Global, самый большой сегмент аудитории Эха - люди старше 60-ти и большинство из них слушает эфир.
Кстати, вы сами задали систему отсчёта в своём комментарии

Монопольное положение в сегменте рынка эфирного радио?

а теперь двигаете штанги.

BOPOHOK

dime

21.08.18 08:11

0 0

Алекс, в упор не понимаю твоей уверенности в том, что там была двухфакторная аутентификация. Обычно самое просто объяснение и оказывается самым правильным: был задан только пароль, и он каким-то образом попал к злоумышленникам. Не удивлюсь даже, если он был от руки написан на стикере и приклеен к монитору Соломина. Обычное расп... разгильдяйство никто не отменял.

Raiker

19.08.18 01:21

0 3

Я благодаря этому взлому зашёл на Эхо Общество и посмотрел передачу "На пальцах" с Ириной Воробьёвой и Андреем Коняевым. Тот самый Коняев, который в старой Ленте писал интересно про науку. Очень понравилось.

Bor

19.08.18 01:09

0 1

Как взломали без понятия. А как восстановили понятно, весь YouTube просто большая база данных. Причем хранение собственно видео это самая простая часть. Так что, backup обязан быть. И на сами видео очевидно тоже есть backup. Это в конце концов огромный бизнес, который Google не хочет потерять из-за какой-нибудь досадной случайности.

Alex Lonewolf

18.08.18 23:53

0 0

У них же сервера все забирали пару лет назад, после ухода Рябцевой.

Orcus

18.08.18 23:53

1 1

При чем тут Рябцева и серверы?

Alex Exler

Orcus

18.08.18 23:55

1 1

Ни при чем. Помню, что было примерно тогда.
Канал они тогда активно не вели, но какие-то аттрибуты доступа вполне могли храниться там.

Orcus

Alex Exler

19.08.18 02:07

0 0

Как уже сегодня кто-то писал, на Эхе явно у кого-то троян на компе, через него и заходили. Иначе - никак! Даже, если знаешь (подобрал, взломал) пароль от Гугл-аккаунта, он не даст зайти с другого IP или девайса просто так. Потребует код через смс или доп.емейл, даже если двухфакторная авторизация не включена. Даже если войдешь с нового ip/устройства, то тебе гугл пришлет емейлы об этом.
Собственно, все крупные сервисы - и гугл, и яху, и микрософт, уже давно так делают. Поэтому, представить ситуацию со "взломом" крупного медийного канала очень сложно. Тут явно или троян, или...

bp2000

18.08.18 23:21

0 2

Так точно, минимум нужно было дернуть куки с сессией.

Rifkat

bp2000

19.08.18 03:16

0 0

"Троян" - это тоже взлом, какбы, в общем смысле слова.

unlaba

bp2000

19.08.18 11:34

0 0

Что касается восстановления, то типовая ситуация с точки зрения сервиса при запросе на удаление, не удалять физически все данные сразу, а просто отключать аккаунт. Делать ему Disable без стирания. А стирать все только через N дней после отключения. В этом случае что-то восстановить - дело нажатия одной кнопки. В ентерпрайз среде такое повсюду используется.

Khul

18.08.18 23:16

0 3

Пароль можно попросить. Очень вежливо. Вместе с телефоном для 2FA.

The_Xvost°

18.08.18 23:12

0 0

Для этого нужен сайт который выглядит 1 в 1 как тот который нужно взломать, у меня так стим уводили, дав ссылку на свой профиль при обмене, но ссылка вела но похожий сайт, вместо steamcommunity, был steamconnynity, но тут странно зачем бы кому-то переходить по чужой ссылке на свой же ютуб канал, тогда возможна заменили ссылку на сайт через файл hosts, но для этого нужен доступ к компу кого-то кто бы вводил имя, пароль и код подтверждения на вход на канал.

Pauls96

18.08.18 22:41

0 0

Не, не катит, слишком примитивно. Опять-таки - не прокатывает с двухфакторной аутентификацией.

Alex Exler

Pauls96

18.08.18 22:47

0 0

. Опять-таки - не прокатывает с двухфакторной аутентификацией.

Что значит не прокатит? Отлично прокатывает. Фишинг на то фишинг. Тебе приходит уведомление, что тебя пытаются ломать, срочно смените пароль. Ты бегом бежишь на сайт, попадаешь на фальшифку, сам своими руками вводишь разовый пароль полностью уверенный, что проводишь процедуру смены пароля, а робот пересылает введенный тобой код с сайта-фальшифки на настоящий. Все, аккаунт ушел.

Khul

Alex Exler

18.08.18 23:09

0 0

Очень длительный опыт в ИТ показывает, что подобные вещи в 95% случаев - внутренняя утечка информации. Обычно или раздолбайство или обиженный сотрудник.

azulen

Alex Exler

18.08.18 23:10

0 2

Описанный метод позволяет узнать пароль то бишь один из факторов аутентификации.
Чтобы авторизоваться и, тем более, сменить пароль, этого мало.

Romualds

Khul

19.08.18 07:46

0 0

И что? Ну, узнали пароль. И что это даст?

Alex Exler

Khul

19.08.18 11:03

0 0

И что? Ну, узнали пароль. И что это даст?

Ну и всё. Пароль ввели, код из смс-ки ввели - этой всё форвардится на настоящий ютуб и происходит вход. Ну а далее удаление канала, как я понимаю.

sambl4

Alex Exler

19.08.18 18:45

0 0

Описанный метод позволяет узнать пароль то бишь один из факторов аутентификации.Чтобы авторизоваться и, тем более, сменить пароль, этого мало.

Почему мало то? Если фальшивый сайт стоит как прокладка, то вполне достаточно. И пароль, и смс-код потерпевший введет своими же руками. Схема рабочая, так в клиент-банках деньги уводили. Теперь в смс-сообщениях нормальные банки стали писать, для какого действия пришел конкретный код. Но невнимательость никто не отменял

BOFH

Romualds

20.08.18 16:35

0 0

А что, сам Гугл вместе с его Ютьбом взломать нельзя, что ли?

Camel1000

18.08.18 22:37

0 0

Не знаю. А кто-нибудь когда-нибудь Гугл с его Ютьюбом взламывал?

Alex Exler

Camel1000

18.08.18 22:46

0 1

www.welivesecurity.com
The world’s most popular YouTube video has been hacked
Hackers have managed to deface an array of popular YouTube music videos, changing titles and thumbnail images.

Camel1000

Alex Exler

18.08.18 23:10

0 0

Тут тоже непонятно в чем был "взлом". Может, пароль подобрали.

Alex Exler

Camel1000

18.08.18 23:51

0 0

The world’s most popular YouTube video has been hacked

так тут, вроде, канал vevo просто угнали.

dime

Camel1000

19.08.18 10:41

0 0

Взломать можно абсолютно все. unlaba выше перечислил далеко не полный список инструментов для такого взлома. Вопрос в другом - даже малейший взлом - это УК, поэтому те, кто решатся на взлом (который еще и настолько публичен), то они должны неизбежно решать вопросы наподобие: какая цена взлома, какая цель, какая крыша и т.д.

А хороший взлом - еще и незаметный взлом. Никто никогда не узнает, сколько раз Гугл и Ютуб взламывали, и никто, даже сам гугл, не знает - взломан ли он сейчас и пользуется ли кто-то внутренней информацией. Ожидание тщательного подхода к безопасности очень сильно преувеличено. Оставляя в стороне дискуссию об общем качестве Касперского, недавно всплыла бага (старая), в которой их Secure Connection передавал запрос к DNS-серверам по незащищенному каналу. Если уж в таком продукте такая откровенная дырка, то что можно говорить о толпе гастарбайтеров-кодеров в гугле. Думаю, не надо напоминать, как они "случайно" пособирали открытые вайфаи, и как у них рухнул Google+ в начале своей жизни из-за того, что на диске тупо закончилось место.

А в данной ситуации вообще могли просто случайно сами потереть канал и заявить, что взломали (вообще мог сотрудник с доступом случайно грохнуть и побояться об этом сказать) - я не говорю, что тут было именно так, но так тоже бывает гораздо чаще, чем кажется.

Dyadka4

Alex Exler

19.08.18 17:11

0 0

Видимо, как и со всеми чекистскими "взломами", банальный фишинг.
Как и везде, там ничего не удаляется полностью, поэтому и можно восстановить. Но, учитывая, "популярность" канала Эха, все это больше похоже на самострел ради пиара.

hughes

18.08.18 22:35

5 0

Насчет восстановления. Я так понимаю, у Гугла кэши специальные имеются на сей счет.

igorsub

18.08.18 22:34

0 0

И где они? У меня есть канал на Youtube. Первый раз слышу про какие-то кэши.

Alex Exler

igorsub

18.08.18 22:51

0 0

Через саппорт точно можно восстановить удаленное видео, данные сразу не трутся подчистую. Но канал должен быть достаточно популярным, чтобы саппорт пошел навстречу. Если саппорт отреагирует на просьбу, пришлют такую форму. С удаленным каналом думаю такая же процедура.

otec

Alex Exler

19.08.18 00:14

0 0

Абсолютно точно должны быть бэкапы. В их системе координат место для хранения - самый дешевый элемент. Чем более рейтинговый пользователь, тем более выгодно обеспечить для него восстановление данных, если они потеряются. Возможно, они не афишируют, но бэкапят точно.

Dyadka4

Alex Exler

19.08.18 17:16

0 0

Я не специалист, у меня и канала на YouTube нет, но там разве не единый аккаунт ко всему сразу, в смысле, если подобрал пароль на Gmail, то получаешь доступ ко всем сервисам Google, включая YouTube? Ну это на счёт "Подобрать пароль для известной почты gmail - при условии, что пароль задавал идиот - это запросто."

Ahorn

18.08.18 22:29

0 0

Google Лочит подозрительные попытки входа. Чтоб так просто взломать - нужно чтоб пароль был совсем простой или админ совсем лох.

azulen

Ahorn

18.08.18 22:34

0 0

Канал нужно создавать всё равно, другое дело, что он будет привязан к основному аккаунту Google

eugeny1988

Ahorn

18.08.18 22:41

0 0

Отдельный аккаунт можно делать к каждому сервису.

Alex Exler

Ahorn

18.08.18 22:46

0 0

Ничего подобного.

Alex Exler

eugeny1988

18.08.18 22:47

0 0

Не просто лочит, а еще и сообщает на все привязанные адреса.

Alex Exler

azulen

18.08.18 22:48

0 1

Не просто лочит, а еще и сообщает на все привязанные адреса.

ну, вот через час админ проснулся, прочитал почту и разогнал хацкеров и тараканов 😄

dime

Alex Exler

19.08.18 10:42

0 0

Проснулся, протер глаза с бодуна, подумал: "Во блин, может это я ночью заходил, пока был пьян"...

Dyadka4

dime

19.08.18 17:17

0 0

Это не поможет, если на компьютере админа канала стоит скрытое удаленное управление, и когда админ засыпает, просыпается хакер. Тем более что офисные компьютеры все чаще и чаще не отключают на ночь, а нерадивые работники, нарушая офисные политики, устанавливают удаленку, чтобы можно было из дома подключаться. Если это Team Viewer какой-нибудь (еще и с нарушением лицензии - бесплатная версия супротив корпоративной, которая должна быть в таком случае), то достаточно просто подключиться к рабочему столу, открыть браузер с сохраненной учеткой, и все к чертям удалить.

Dyadka4

Alex Exler

19.08.18 17:19

0 0

Предыдущая запись Следующая запись

Поиск

e-mail Экслера - toffler@gmail.com

Теги