A Linus Tech Tips Youtube csatornát feltörték!

Közösségi kerekasztal

Pár másodperce kaptam jelentéseket a böngészőmben, hogy a "Tesla" élőben van...

 

Kicsit furcsa volt, mert nem iratkoztam fel rá... Viszont jobban megnézve ez inkább az LTT...

 

https://www.youtube.com/@teslaliveonline1

  • 1706 megtekintés

( bounty v | 2023. 03. 23., cs – 11:35 )

Igen az, az én listámban is átíródott.

( Raynes v | 2023. 03. 23., cs – 17:41 )

LTT-éknél tapasztalható nagy csend alapján azt mondom, hogy önhibából szopták be. Bár nem ismerem a módszert, hogy hogyan szerzik meg a támadók ezeket a fiókokat.

The world runs on Excel spreadsheets. (Dylan Beattie)

ha majd visszatérnek, vagy floatplane saját platformjukon nézed, volt már egyszer ilyen pár éve. Utóbbira 4 órája tettek ki videót. 

https://linustechtips.com/topic/1495948-linus-tech-tips-tech-quickie-te…

Thanks for the concern everyone. We are still in recovery mode over here and working with YouTube to get everything restored. Will hopefully have a video (or at least an update on WAN Show) to share with you all ASAP, but we want to make sure we get the details right since...

Hasonló dolog történt tavaly a TheVR-os srácok csatornájával is. Ugyanígy "Tesla" nevet kapott a csatorna, és élő adást nyomattak rajta, a videókat pedig privátra tették. Utána beszéltek róla az egyik podcastjükben, és azt mondták, hogy a támadók valószínűleg a session azonosítására használt tokent szerezték meg valahogy a cookieból. Ezért is nem nagyon véd ez ellen a 2FA. És ezért nem is tudják általában az ilyen támadások tartós időre átvenni az irányítást a csatorna felett, vagy törölni azt, hiszen ehhez már jelszavas vagy 2FA megerősítés lenne szükséges.

Valóban. Erre akartam utalni azzal, hogy nem tudják tartósan átvenni az irányítást, mert ezeket a beállításokat nem tudják módosítani. Ennek ellenére láthatóan elég veszélyes, mert ahogy a korábban már említett podcastben is mondják, a YouTube bizony automatikusan tiltja a csatornát, ha az hosszabb ideig nyomatja a scammer élő adást. És azért egy LTT-nél kisebb méretű csatorna esetén sok sikert hozzá, hogy a YouTube / Google bürokratikus útvesztőin keresztül bizonyítsd az igazad, és visszaszerezd a letiltott csatornád.

Közben az egyik videóban ezt megerősítette egy másik YouTube-er. Egy malware-t kell hozzá beszívni, ami elküldi a támadónak a böngészősütit, hogy megszerezze a login sessiont. Ennyi. Mondom én, hogy balfékek.

The world runs on Excel spreadsheets. (Dylan Beattie)

Az a baj, hogy azt hiszik, mert gazdagok, meg tech csatorna, akkor a legjobban értenek hozzá, és velük nem történhet semmi. Közben meg néhány windowsos gamer gyerek, akik lószart se tudnak. Van közöttük 1-2 jobban képzett, az az Anthony meg talán az a Jake gyerek, nem véletlen, ha valami hálózati vagy szerveres gond van, adatvesztés, mindig azokat ugrasztja Linus, mert ez szokott lenni az a pont, ahol a Gamer Pistiség meg az RGB overclocking nem elég.

Egyébként derekas, hogy végül pár perc 2FA-s terelés után ebben a videóban bevallották, hogy az ő hibájuk, egy alkalmazott mailben megnyitott egy megbízható partnertől származó ajánlatot, és települt neki a malware. Ezt így kell, nem mást hibáztatni, hanem beismerni, és tanulni belőle, legközelebb elejét venni, ettől lehet fejlődni szakmailag.

Ráadásul én is tudom, hogy milyen, mikor az embert hackelik, kétszer egymás után a Facebook fiókom is meghekkelték, pedig nem egyszerű jelszó volt rajta, és megfelelően védem, alig használom és mégis. Hála isten a FB rendszere mindkétszer megfogta őket, mert látta, hogy máshonnan jelentkeznek be, mint én szoktam, és értesített a belépésről, így magát a fiókot nem szerezték meg, a rendszer azonnal kivágta őket, de azért aggasztó, hogy a jelszót hogy találták ki. Gyanítom, hogy az androidos telómon a Messenger app tárolhatja a jelszót szabálytalanul, vagy ott talált valami sechole-t a támadó, amivel megszerezte a jelszót, mert azon kívül csak Linux alatt lépek be, és az a rendszer holt biztonságos, bleeding edge frissességű, semmi crack, meg gyanús app nincs fent, mindent titkosított, csak megbízható tárolóból telepítek, stb.. Nem is hibáztatok mást, bár még mindig nem tudom, hogy hogyan védhetném be a fiókot. Egyelőre egy 64 karakteres, random generált jelszót használok, ezt még nem törték meg. Az Android viszont egy nagy fos, azzal nem tudok mit csinálni, pedig jó lenne valamit kezdeni vele, vagy elkerülni, de a linuxos telók még nincsenek azon a szinten, főleg, ha valami népszerű közlekedési vagy banki app kell.

The world runs on Excel spreadsheets. (Dylan Beattie)

> de azért aggasztó, hogy a jelszót hogy találták ki

nekem a paypal fiokom tortek meg jopar eve. azota se jottem ra hogy, azt a jelszot sehol mashol nem hasznaltam, sot az egesz paypalt jo ha egy evbben 2x... fel eve be se leptem elotte egyszer csak jott egy email reggel hogy vasaroltak 100$-ert valami kupont mexikoban vele. persze rogton letiltattam, toroltem a mentett kartyat (azota se mentek sehol) meg irtam reklamaciot, vegul visszakaptam a penzt, de akkor is wtf ez?

egyik kollegamnak az ssh jelszavat loptak el es leptek be vele az egyik kozos szerverunkre, azt se tudjuk hogy sikerult. linuxot hasznal, semmi warez stb. azota mondjuk jon email riasztas minden belepesrol mindenkinek...

Ráadásul én is tudom, hogy milyen, mikor az embert hackelik, kétszer egymás után a Facebook fiókom is meghekkelték, pedig nem egyszerű jelszó volt rajta, és megfelelően védem, alig használom és mégis. 

akkor úgy látszik te is pont olyan gémer pisti vagy mint akiket fikázol, hívj egy szakembert legközelebb hogy adjon tanácsot. amúgy nem te vagy a hajbazer2?

Így van. Azért is mondom, hogy nem mást kell hibáztatni, hanem szakmailag fejlődni, és akkor nem lesz az ember ilyen hülyeségeknek áldozata. Gamer Pistiséget meg már úgyse élvezem, szoktam még néha gamelni, de megmondom őszintén, hogy így 40+-osan már unom, kiöregedtem belőle.

Nekem szerencsém is volt, mert a FB rendszere annyiból fejlettebb, hogy alapból megfogja az ilyet geoszűréssel, hiába pattintják be rafináltan a login session sütit, meg a jól kilopott jelszót, ha a rendszer lepattintja őket. Még az se opció, ha valami konkrét országba kilépő proxit, TOR-t, vagy hasonlót használnak, mert még a régiót is nézi az IP alapján. Úgy néz ki, hogy a Google erre még nem figyel.

hajbazerrel meg nem szoktam egyet érteni, ha figyelmesen olvasol. Bár van egy-két dolog, amiben igaza van, de az csak véletlen beletrafálás. Tényleg, mi van vele, nem láttuk már egy ideje.

The world runs on Excel spreadsheets. (Dylan Beattie)

Nekem szerencsém is volt, mert a FB rendszere annyiból fejlettebb, hogy alapból megfogja az ilyet geoszűréssel, hiába pattintják be rafináltan a login session sütit, meg a jól kilopott jelszót, ha a rendszer lepattintja őket. Még az se opció, ha valami konkrét országba kilépő proxit, TOR-t, vagy hasonlót használnak, mert még a régiót is nézi az IP alapján.

Azért ez szerintem nem ennyire egyszerű. Mi a helyzet például a mobilinternet esetén? Nem vagyok szakértő a témában, de gondolom ők ugyanabból az IP tartományból osztanak mindenkinek az országban. Most nekem pl. GeoIP alapján 220 km-el távolabb lévő várost mutat. Újra csatlakozás, IP váltás után pedig megint másik, az előzőtől 130 km-re lévő helyet mutat. A (webes) Facebook Messenger természetesen nem jelentkeztetett ki a váltás után sem. (És nem is nagyon emlékszem, hogy ilyenre lett volna példa egy-két esetet leszámítva.) És azért lássuk be, ezeket a social platformokat elég nagy részben mobil eszközökről, mobilinternetes kapcsolattal használják.

Szerintem ha valaki, akkor pont a Facebook az, aki nem fogja "zavarni" a felhasználóit ilyen kijelentkeztetésekkel, jelszó kérésekkel, ahogy fentebb is írták. Még a végén valaki megunja, és nem fogja használni az appjukat / oldalukat.

( bounty v | 2023. 03. 23., cs – 18:03 )

Szerkesztve: 2023. 03. 23., cs – 18:04

Szintén pár hete egyik feliratkozott otthon automatizálós csatornával is ugyanez esett meg, részletesen beszámol róla Paul, hogyan nyúlhatták le a 2FA ellenére.

https://www.youtube.com/watch?v=0NdZrrzp7UE

( trey | 2023. 03. 24., p – 08:18 )

Hogy mit csináltak mivel?!

trey @ gépház

Most neztem meg, hat eleg vicces :)

Windowson, rendes antivirus/malware vedelem nelkul zip csatolmanyt kitomoriteni es megnyitni ami benne van...

Ez azert a benasag legfelso foka. Es megy a megmagyarazas hogy "did not raise red flags". Hat az eleg baj :)

Persze lehet kopkodni a youtube-ot hogy miert enged csak session alapjan 1000 videot torolni meg API kulcsokat valtoztatni, de azert ebben a sztoriban nem a youtube volt az igazi hulye.

> nem zip-et küdenek az old school, hanem img-t/iso-t

amiben az a remek, hogy szivfajdalom nelkul eldobhatom a mailgw-n tipus/ext alapjan melyebb vizsgalat nelkul, senkinek se fognak hianyozni. zip-el ezt nem tehetem meg mert hamar nyavajognanak a juzerek.

"Windowson, rendes antivirus/malware vedelem nelkul"

Na jó, de melyik a rendes?

Anno, amikor még pörögtem az ilyeneken, akkor az épp aktuálisan legjobbnak kikiáltott (felszopott) víruskeresőt fel se tudtam telepíteni, annyira fejlett volt. (Oké, nem a next-next-oké, hanem a hivatalosan leírt unattended installal). De ez rég volt, talán feltételezhető, hogy már viszonylag települnek.

Nade. Az utóbbi pár napban rendszeresen kapok fura leveleket (azaz átcsúsznak a szűrőkön), amikre a virustotal alapján semmi se moccan rá. Lehet hogy belül ezek ártalmatlanok, és azért, és csak valami ártatlan oldalról töltik le amit épp ügyeskedni akarnak, de ezt, sandbox környezet híján se kedvem, se energiám nem volt nézegetni. (Plusz elvileg ugye a virtustotal sandboxban is ellenőriz).

( ricsip v | 2023. 03. 24., p – 15:01 )

Kíváncsi lennék az utóbbi idők tömeges YT account feltörései és a videók tömeges törlései ellen van-e már védelem beépítve? Pl. hogy pár napig-hétig nem törli ténylegesen, hanem kvázi csak lomtárba áthelyezi, ahonnan lehet undelete-elni gond nélkül.

( arpi_esp v | 2023. 03. 24., p – 16:04 )

en azt nem ertem, ha valtozik az IP cim (vagy legalabb az ASN/ISP vagy az orszag) akkor miert nem ker uj logint, miert bizik a kukiban?

igen. ez el is hangzik a videójukban. sok egyéb más mellett.

amúgy azért, mert az az érdeke yt-nek, meg fb-nek, meg mindenkinek, hogy minél "kényelmesebb" legyen a bentmaradás a platformon. ha állandóan relogint kérne, akkor a felhasználói élmény sérülne - szerintük

4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.

nincs okom, se érdekem védeni őket. de érdekes, hogy az általam felügyelt projekteknél van "sudo mód". azaz a 2fa-t megkövetelei bizonyos műveleteknél. ezt egyébként a githubtól vettem

4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.