У нас украли YouTube-канал. Как это стало возможным и что происходит сейчас

Привет.

Утро воскресенья у меня началось с того, что один из наших читателей написал: кажется, у вас угнали YouTube-канал. Залез посмотреть, что происходит, и действительно, вместо наших видео совсем другие ролики, название канала изменилось.

В течение нескольких часов все изменилось повторно, канал менялся на глазах.

Доступ к каналу имело всего три человека, безопасность была выстроена по рекомендациям Google — привязан дополнительный адрес почты, номер телефона, включена двухфакторная авторизация. Ничто не помогло от того, что случилось дальше, и это не тот сервис, которого ждешь от Google как от огромной IT-корпорации.

В 8.14 утра воскресенья злоумышленники начали получать доступ к нашему каналу, время выбрано неслучайно, высока вероятность, что мы не заметим изменений и не успеем отреагировать, что, собственно, и произошло. Вначале взломщики добавили электронный ключ для авторизации на канале. Вошли на новом устройстве. Изменили номер телефона, привязанного к аккаунту. Затем изменили привязанный дополнительный адрес почты.

Идеальная последовательность действий, характерная для пособия о том, как украсть аккаунт на YouTube. Если вбить в поиске от Google нечто подобное, то вы найдете множество инструкций, какие-то подробные, какие-то менее тщательно составленные. Но с ними справится и школьник.

Как нас взломали — социальный аспект

Я не знаю, как приставить другим людям свою голову, а заодно научить простым правилам цифровой гигиены. Обычная массовая рассылка на личный адрес почты сотрудника, в которой от лица компании предлагают сделать интеграцию, разместить обзор новых наушников и так далее. Мышеловка устроена очень просто — вам предлагают какие-то плюшки. При этом создано доменное имя, которое находится в зоне RU, перекликается с именем компании. Что интересно, сами письма написаны безграмотно, на компанию они никак не похожи, человек неизвестен и далее по списку. В каком измененном сознании нужно быть, чтобы жать на ссылку в таком письме и заполнять форму заказа, я не знаю. Представить, что сотрудники компании общаются в почте в выходной день и ближе к полуночи, я тоже не могу.

Более того, с компаниями никогда и никаких форм не заполняется, что тоже должно насторожить. Но нет, вот они, наушники, а значит, жмем на ссылку. Пример письма — ниже.

«Анна Логинова» <[email protected]>:

Реклама новых наушников от компании Tecno, наушники BiMax.

Наушники беспроводные, имеют стандарт BlueTooth 5.0 , и так же имеют время автономной работы до 50 часов в режиме ожидания.

Насчет спама, мы проводим рассылки по блоггерам, поэтому есть риск попасть в спам, но мы особо не проверяем это.

Вы знаете, что меня убило? Сотрудник отдал незнакомой “девушке” все свои личные данные — номер телефона, где он живет и так далее. Мы тут про пожилых людей пишем, что их обманывают мошенники, а тут впору задуматься о молодых.

Сотрудник у нас упорный, он добивается своего, более того, дальше общение идет очень мило.

ТЗ размером в 750 МБ?

С расширением pdf.scr

Ничем не открывается, даже если убрать scr.

В ответ он получает:

Нам нет смысла рассылать вирус, мы честная компания, лидирующая в сегменте бюджетных гаджетов, моя почта может подтвердить что я имею прямое отношение к компании Tecno

Расширение мы не меняли, возможно это какой то баг, я сейчас смотрю и у меня все хорошо.

Пароль мы накладываем так как многие компании ФО сканируют файлы, и иногда бывает что выкладывают в публичный доступ файлы ( вспомнить тот же метабокс )

Пришлите пожалуйста скриншот проблемы, я отправлю тех. поддержке, и мы постараемся выявить и по возможности устранить причину возникновения данной проблемы.

В этот момент можно было десять раз включить голову, сменить все пароли и так далее, но нет — упорство, попытки открыть файл и последнее письмо вот такого рода:

00:29, 4 декабря 2022 г., «Анна Логинова» <[email protected]>:

Странно, у меня такого нет, я отправлю всю информацию тех. поддержке.

И уведомлю вас как выясниться в чем проблема.

Думаю нужно действительно поспать, завтра с утра отправлю скриншот того как файл выглядит у меня, и ответ от тех. поддержки.

Не думаю что что-то страшное, но тех. поддержка скажет точно.

Доброй ночи.

Что тут сказать? У меня просто нет слов, лексика исключительно нецензурная. Я правда не знаю, что это, ретроградный Меркурий, пятна на Солнце или что-то еще. Как можно было сделать вот это все?

Понятно, что никакого отношения к компании Tecno эти мошенники не имели. Они просто создали левый сайт, купили домен и начали разводить людей. Не имей сто рублей, а имей сто друзей — в декабре съезжу в Нижний Новгород, попробую понять, что двигало этими деятелями искусства взлома и шантажа (вымогали деньги в течение дня, причем очень глупо и тупо — но это отдельная история, возможно, когда-то про нее расскажу).

Защита от Google — странный цикл, из которого не вырваться

Вкалываешь, работаешь, записываешь десятки видео ежемесячно. Следуешь рекомендациям Google, создаешь запасной почтовый адрес, добавляешь номер телефона, но все это не работает! Воры просто меняют эти настройки за несколько минут, ты не можешь войти в свой аккаунт.

Форма входа в аккаунт зациклена, она предлагает одни и те же решения — вставить аппаратный ключ (его добавили злоумышленники), ввести 8-значный код (он также у них), проверить почту (ту, что украли). Идеальная история. Никакой обратной связи с YouTube или Google нет, в сотнях материалов в сети описан один и тот же алгоритм действий. Но он не работает, так как мне не предлагают ввести информацию, которая была ранее.

Последовательность действий воров настолько типична, что можно просто установить ограничения, ведь такие операции вызывают вопросы. Тут не нужны AI-алгоритмы, просто надо понимать, что все это выглядит как кража аккаунта. И таких историй ежедневно происходят сотни. Поставьте, в конце концов, ограничения на смену номера телефона, установите интервал в сутки, предупреждайте владельца аккаунта об этом. Текущий вариант предупреждения не дает ровным счетом ничего, вы просто узнаете, что кто-то сменил номер телефона или почту, но сделать с этим ничего нельзя (тот самый замкнутый цикл вопросов по кругу).

Среди прочитанных десятков материалов нашел единственный полезный совет — обратиться в Twitter к команде YouTube, там отвечают быстро. Несмотря на воскресенье, получил быстрый ответ.

В личной переписке мне посоветовали пройти ровно те же шаги, что уже были предприняты и не помогли. Затем попросили заполнить форму, на этом все снова вернулось в цикл. Затем мне открыли форму и привязали возможность ответов к конкретному почтовому адресу, появился шанс что-то указать. Личного менеджера на YouTube у нас не было, так что этот путь также был закрыт.

В конечном итоге, подняв на уши всех, кого только возможно, мы вопрос решили — получили обратно доступ, архив нашего канала начал восстанавливаться. Пишу эти строчки и смотрю, как на канале десятками появляются видео, которые воры с него удалили. Возможно, что к моменту, когда вы будете читать этот текст, канал полностью восстановится.

Ситуация — прекрасный урок лично для меня, а также для всех причастных, выводы сделать уже можно. Со своей стороны приложу максимальные усилия, чтобы сама система защиты аккаунтов в Google изменилась и не было возможности вот так легко их красть, даже когда человек делает для этого максимум возможного. Мы отделались испугом средней тяжести, и ситуация разрешилась довольно быстро. Эмоций в это воскресенье получено множество.

Из хорошего отмечу, что огромное число людей не злорадствовали, а предлагали любую помощь, которая может понадобиться. И это очень ценно, спасибо вам за это. Мы справились с этой ситуацией, а значит, стали немного умнее и сильнее.

P.S. Принудительные занятия по цифровой гигиене внутри нашего коллектива отныне будут обязательными. Со сдачей зачетов, объяснением своих действий и тому подобным. Чтобы не было ситуации, когда сам сапожник вдруг оказался без сапог. И еще раз спасибо за поддержку. Желающие подписаться на наш канал могут его найти вот тут.



UPD: утром, 5-го декабря, канал был закрыт YouTube из-за жалоб на контент. Будем разбираться и продолжим работать над восстановлением канала.

[email protected]
наверх