Kanał YouTube Linus Tech Tips i dwa inne kanały YouTube Linus Media Group zostały przywrócone po poważnym włamaniu, które umożliwiło złemu aktorowi robienie takich rzeczy, jak przesyłanie na żywo filmów o oszustwach kryptograficznych, zmiana nazw kanałów, a nawet usuwanie filmów. W nowym wideowłaściciel Linus Sebastian wyjaśnia to naruszenie ominął takie rzeczy, jak hasło i ochrona dwuskładnikowa, ponieważ zły aktor celował w tokeny sesji, które utrzymują cię zalogowanym na stronach internetowych.
Według Sebastiana, ktoś z zespołu Linus Media Group pobrał „coś, co wyglądało na ofertę sponsorską od potencjalnego partnera” i uruchomił załączony plik PDF z warunkami tej oferty. Ale Sebastian mówi, że ta oferta w rzeczywistości obejmowała złośliwe oprogramowanie, które uzyskiwało dostęp do „wszystkich danych użytkownika z obu zainstalowanych przeglądarek” — w tym tokeny sesji — co skutecznie dawało przestępcy „dokładną kopię” przeglądarek, którą mógł eksportować i używać do siania spustoszenia bez potrzeby aby wprowadzić poświadczenia bezpieczeństwa.
Wskazówki techniczne Linusa, TechLinkedI Technickie wszystkie wróciły, ale Sebastian ma dla YouTube kilka sugestii, jak zapobiegać podobnym naruszeniom w przyszłości. Na przykład chciałby zobaczyć większe opcje bezpieczeństwa dla niektórych atrybutów kanału (według Sebastiana można zmienić nazwę kanału bez konieczności podawania hasła lub korzystania z uwierzytelniania dwuskładnikowego) oraz pewnego rodzaju prośbę o potwierdzenie lub weryfikację jeśli ktoś spróbuje masowo usunąć filmy.
„Po otrzymaniu powiadomienia od zespołu Linus Tech Tips, że ich konto zostało naruszone z powodu nieautoryzowanego dostępu, nasz zespół zbadał problem i współpracował z nimi w celu zabezpieczenia i przywrócenia konta” — powiedziała rzeczniczka YouTube Elena Hernandez w oświadczeniu dla Krawędź. Zapytaliśmy, czy firma wprowadzi jakieś zmiany, które pomogą w walce z takimi naruszeniami w przyszłości.
Tego rodzaju przejęcia kanałów YouTube stały się coraz bardziej wspólny jak na razie, a zmiany, takie jak zalecenia Sebastiana, miejmy nadzieję, że zapobiegną ich wystąpieniu w przyszłości. Polecam obejrzeć Sebastiana pełne wyjaśnienie wideo, który zawiera więcej informacji o tym, co się stało. Ale ostrzegam: wideo zawiera nagranie z monitoringu przedstawiające nagiego (choć niewyraźnego) Sebastiana w jego domu, gdy próbuje dowiedzieć się, co się dzieje.
Aktualizacja 24 marca, 14:03 ET: Dodano oświadczenie z YouTube.