Адрес для входа в РФ: exler.wiki

Канал взломали и удалили

18.08.2018 22:16  24112   Комментарии (80)

Э... Мне кто-нибудь может объяснить, как можно "взломать и удалить" youtube-канал с двухфакторной аутентификацией (даже я такую использую, а уж что на "Эхе" такую не используют - я поверить не могу) и как его при таком крутом взломе можно восстановить (очевидно, что если взломали, то все данные аутентификации поменяли) со всеми удаленными данными через несколько часов?

Я просто интересуюсь. Я саму технологию что взлома, что восстановления не понимаю в упор. И не понимаю слова "взлом" - о "взломе" youtube-канала слышу первый раз в жизни. Подобрать пароль для известной почты gmail - при условии, что пароль задавал идиот - это запросто. А "взлом"?

Тут только два варианта. Или у youtube большие проблемы с безопасностью, во что я не верю ни разу, или что тут какое-то дело темное со стороны "Эха".

P.S. Может, админ канала пароль просто забыл? Бывает такое...

Комментарии 80

Двухфакторная аутентификация очень слабая защита. Об этом уже написано куча статей и более серьезных работ безопасников.

1. Украсть пароль. Сотрудники активно пользуются личными ноутами на работе, это даже в эфире того же ютюба видно. Они эти ноуты таскают везде, в поездках, на прессухах и т.д. и скорее всего пихают его в публичные вайфаи. Это серьезная точка уязвимости, можно как потырить тафик прямо налету, можно подсунуть вредонос, винда это все сожрет. Дальше дело техники.

2. Собственно перехват смс. Для этого есть куча вариантов. Тупо делается дубликат симки, очень распространенный способ. Или на телефон который указан как контактный запихивается троян, очень много способов как это сделать, дыр полно. И т.д.

И вуа-ля! Если мы говорим о публичном ресурсе как канал Эха, у которого довольно много "недоброжелателей", то вполне вероятно направленная атака. И провести эту атаку может, ну не школьник, но студент 2-3 курса точно сможет.

И это все с учетом того, что все настроено как положено. Не стоит недооценивать раздолбайство, это страшная сила.

ps вот ссылка на заметку журнала Хакер еще от 2016 года, там же есть ссылка на первоисточник документ The National Institute of Standards and Technology, NIST.
xakep.ru

вот свежая новость как украли несколько миллионов в крипте взломав двухфакторную аутентификацию
xakep.ru

Двухфакторная аутентификация очень слабая защита
Но что же делать, ведь даже она меня парит.

Двухфакторная аутентификация очень слабая защита. Об этом уже написано куча
вот ведь как оно! Оказывается, безопасники пары крупных западных банков, на которых я как-то работал - полные идиоты. Они даже не вступали в кучи... Не читали журналов >какер. Надо бы им послать. А, кстати, и какая же авторизация, по мнению дурнала >какер неслабая?

Вас в гугле забанили что ли? Я вам привел русскоязычные источники что бы понятнее было, еще в 2016 годы самая американская контора NIST признала двухфакторную аутентификацию ненадежной и более не рекомендовала ее использовать.

вот пруф заграничный, раз вы наших не любите: www.schneier.com

неслабая аутентификация по ключу, которую вы, болезый, способны сохранить от посторонних глаз.

Я тоже работал на несколько банков и даже западных в том числе. Так что кроме детсадовских коверкакний слов приведите хотя бы один пруф ваших слов. Банки не используют ничего другого, потому как пока не придумали лучше. Но это не значит что это все такое секурное что спасу не.

Требуется новый стандарт который все будут готовы принять, но проблема в том что никто не чешется.

Ну и Google уже с 2017 года плавно начал отказываться от двухфакторной аутентификации:
gsuiteupdates.googleblog.com

Я вам привел русскоязычные источники что бы понятнее было,
журнал какер к источникам не относится. Вы ещё журнал мурзилку бы привели.

от пруф заграничный, раз вы наших не любите: www.schneier.com/blog/archives/2016/08/nist_is_no_long.html
неслабая аутентификация по ключу, которую вы, болезый, способны сохранить от посторонних глаз.
вы сами-то его читали, кроме одной фразы? Там внутри про как раз про многофакторную (втч двухфакторную) аутентификацию написано. Аутентификация по "неслабому" ключу ничем принципиально не отличается от любой другой однофакторной аутентификации. Система становится уязыимой при компроментации единственного фактора и совершенно не важно простая это парольная защита или неслабый ключ. Стырили ноут, как вы сами и описали - и аляулю, вся "неслабая", по мнению какера защита, насмарку. Именно поэтому придумали второй (третий и тд) фактор аутентификации.

приведите хотя бы один пруф ваших слов
какого рода пруф? В одном банке первый фактор - логин-пароль, второй фактор - генератор токенов. В другом банке, гм, там целых три фактора - логин-пароль + секурити кард + сертификат.

Банки не используют ничего другого, потому как пока не придумали лучше.
разумеется. Два фактора лучше, чем один. Три - ещё лучше. Дальше уже сильно неудобно. Ничего лучшего ещё не придумано.

Но это не значит что это все такое секурное что спасу не.
смотря как этим пользоваться. Сдуру-то можно и хрен сломать.

Да, и не читайте журналов какер. Это просто смешно.

Требуется новый стандарт который все будут готовы принять, но проблема в том что никто не чешется.
какой стандарт? Опишите его.

Вот только давайте не будем путать двухфакторную аутентификацию вообще и авторизацию через смс.
Гугл неоднократно писал, что смс - это слабозащищенный канал, и в серьезных случаях его использовать не стоит.
А вот использование в качестве второго фактора хардварных токенов наоборот, показало себя с самой лучшей стороны, и всячески гуглом приветствуется.
В вашей же ссылке это сказано черным по белому.
Вы сами-то читали?

какого рода пруф? В одном банке первый фактор - логин-пароль, второй фактор - генератор токенов. В другом банке, гм, там целых три фактора - логин-пароль + секурити кард + сертификат.
Давайте я перефразирую, что бы до вас дошло. Прежде всего под двухфакторной аутентификацией подразумевается что второй фактор это одноразовое смс. И в ютюбе именно так. При том имея контроль только над этим фактором, даже не зная пароля первого, можно легко войти в целевую систему. Это стандартный паттерн который все (почти) используют, через "забыли пароль" можно обнулить первый фактор и войти. И ютюб тоже. Соль проблемы в том, что очень легко перехватить смс. Что же касается банков, то для физиков я максимум что видел, это карточка с одноразовыми заранее сгенерированными паролями, которая выдается клиенту. Для юриков как вы т пишете, все серьезнее. Разумеется это другой уровень безопасности и тут вопросов то нет. Но если второй фактор очень слабый и при его помощи можно обойти первый, становится даже хуже чем только логин-пароль.

И не надо говорить мне что читать, а что нет. Сами бы лучше поучились читать и видеть в тексте не то что вам кажется, а то что там написано.

Требуется новый стандарт который все будут готовы принять, но проблема в том что никто не чешется.какой стандарт? Опишите его.
Без одноразовых смс, что бы второй фактор не мог скомпрометировать первый и был надежен не менее первого.

Вот только давайте не будем путать двухфакторную аутентификацию вообще и авторизацию через смс.Гугл неоднократно писал, что смс - это слабозащищенный канал, и в серьезных случаях его использовать не стоит.А вот использование в качестве второго фактора хардварных токенов наоборот, показало себя с самой лучшей стороны, и всячески гуглом приветствуется.В вашей же ссылке это сказано черным по белому.Вы сами-то читали?
Мы сами читали! А с каких пор в ютюбе вторым фактором не смс, а хардварный токен? Мы же говорим в контексте конкретного случая с ютуб акаунтом Эха. То что сама технология вцелом, с надежным вторым фактором хороша, вопросов нет.

И потом, львиная доля ресурсов в интернете вторым фактором использует именно смс, есть конечно исключения но их мало, даже в финансовой сфере.

Прежде всего под двухфакторной аутентификацией подразумевается что второй фактор это одноразовое смс. И в ютюбе именно так
нет, конечно. Может читатели журнала >какер (я ничего не искажаю, у них так на обложке написано!) это и подразумевают, но это не так. Прежде всего, под двухфакторной авторизацией подразумевается наличие второго фактора. У гугла 3 (буквами - три!) варианта выбора второго фактора.

При том имея контроль только над этим фактором, даже не зная пароля первого, можно легко войти в целевую систему
это вы тоже в журнале >какер прочли? Так вот - это враньё.

Это стандартный паттерн который все (почти) используют, через "забыли пароль" можно обнулить первый фактор и войти. И ютюб тоже.
возможно, это использует журнал >какер, но это проблема журнала и той школоты, что следует его вредоносным советам. У гугла второй фактор и резервный метод входа - разные сущности.

Что же касается банков, то для физиков я максимум что видел, это карточка с одноразовыми заранее сгенерированными паролями
то есть вы ничего не видели, но чушь несёте с очень умным видом.

Но если второй фактор очень слабый и при его помощи можно обойти первый, становится даже хуже чем только логин-пароль
ох уж эти читатели какера.. Такой бред несут, аж уши вянут.

И не надо говорить мне что читать, а что нет
Можете ещё журналы плоскоземельщиков почитать.

Сами бы лучше поучились читать и видеть в тексте не то что вам кажется, а то что там написано
а написано там вот что:
Authenticator Assurance Level 1: AAL1 provides some assurance that the claimant controls an authenticator bound to the subscriber’s account. AAL1 requires either single-factor or multi-factor authentication using a wide range of available authentication technologies. Successful authentication requires that the claimant prove possession and control of the authenticator through a secure authentication protocol.

Authenticator Assurance Level 2: AAL2 provides high confidence that the claimant controls an authenticator(s) bound to the subscriber’s account. Proof of possession and control of two different authentication factors is required through secure authentication protocol(s). Approved cryptographic techniques are required at AAL2 and above.

Authenticator Assurance Level 3: AAL3 provides very high confidence that the claimant controls authenticator(s) bound to the subscriber’s account. Authentication at AAL3 is based on proof of possession of a key through a cryptographic protocol. AAL3 authentication requires a hardware-based authenticator and an authenticator that provides verifier impersonation resistance; the same device may fulfill both these requirements. In order to authenticate at AAL3, claimants are required to prove possession and control of two distinct authentication factors through secure authentication protocol(s). Approved cryptographic techniques are required

Начиная со второго уровня двухфакттрная аутентификация обязательна. На первом, самом простом уровне, не обязательна, но возможна.
Читайте то, что написано, а не бред из журнала >какер. Вы прямо наглядно и на примере показали, что даже предвыборные обещания путина содержат меньше вранья, чем статьи из >какера.

А с каких пор в ютюбе вторым фактором не смс, а хардварный токен?
софтверный. С 2012-го года. Хардверный тоже можно, с каких пор не знаю. Ой, >какерам это не сообщили? Какой ужос! Ну, продолжайте отстаивать право читать помойную прессу.

Что же касается банков, то для физиков я максимум что видел, это карточка с одноразовыми заранее сгенерированными паролями, которая выдается клиенту.
Почитайте для примера: www.demos.ru .

У меня лежит в сумке такой генератор от одного из банков (для личного счета). Сначала вводишь пароль, потом система спрашивает токен: нажимаешь на брелоке и вводишь отображенный код. Неудобно безумно, но куда деваться.

Похожая штука есть и у майкрософта в его аутентификаторе - и это, кстати, более безопасно. Токен в сумке - любой может его вытащить, нажать на кнопку и получить код, поэтому это спасает от массированных атак, но вот при атаке "изнутри" может не спасти. Например, ушлый коллега подглядел пароль, дождался, пока ушел на горшок, и вытащил токен из сумки. Токен, конечно, можно и с собой таскать, но это лишь уменьшает простоту физического доступа к нему, но полностью не исключает.

А в телефоне так код получить уже сложнее, особенно если вход в телефон на глазах у других людей осуществляется только через отпечаток пальца.

Вообще, как я уже тут писал - взломать можно все, что угодно; главное - чтобы была цель, оправдывающая средства. И средства на такие средства, конечно 😄))

Что же касается банков, то для физиков я максимум что видел, это карточка с одноразовыми заранее сгенерированными паролями, которая выдается клиенту.
Ну не знаю... У меня счета в нескольких латвийских банках и везде уже минимум год используется вот эта технология - www.smart-id.com
ИМХО очень удобно и надёжно.

У YouTube это случается с завидной регулярностью. Кто-то там решает, что количество подписчиков накручено ботами, и канал удаляют. Потом владелец бегает по потолку, "предъявляет ваши доказательства", и канал восстанавливают. Но уже без листа подписчиков.
19.08.18 12:48
0 0

Как уже здесь писали, взлом мог быть осуществлен посредством трояна, который занесли на компьютеры радиостанции. Сам троян мог установить кто-то из сотрудников (преднамеренно, или нет), мог быть взлом их wi-fi сети (не Пентагон же, ей богу), могли и смартфон чей-то задифейсить, и оттуда уже продолжать атаку.

Почему говоря о взломе все понимают под этим какой-то там прямой подбор паролей к аккаунту, или какую-то атаку непосредственно на целевую систему (ога, "пригоженские тролли"
нашли уязвимость в youtube). Конечно же нет. Это может и социальная инженерия быть, с фишингом, подкупом сотрудника, и утечка паролей с троянизированной машины (возможно это было даже не целенаправленно, просто кто-то случайно получил от своего ботнета данные, опа, а там "Эхо", ну и перепродали каким-нибудь "ольгинским" чтоб те устроили безобразие. Ну и как я уже писал, это может быть взлом wi-fi сети офиса (или взлом самого маршрутизатора), ибо, редакция находится в здании с кучей других офисов (можно быть в зоне досягаемости сигнала и спокойно вести взлом сидя за стеночкой), а эксплоиты для взлома WPA/WPA2 это вовсе никакая не фантастика.

ЗЫ: Как восстановили? Ну написали в саппорт, представились, объяснили ситуацию. Естественно со стороны юзера физически ничего не удаляется (по крайней мере не сразу), так что в саппорте просто отменили удаление и все вернулось.
19.08.18 11:26
0 1

Вот-вот! Все верно, вариантов мильон на самом деле.

а что слово дедик уже никому ничего не говорит ? Я уже не говорю про API , увод токена...и т .д. Помнится даже у Алекса на проданном телефоне кто-то спокойно работал с его токеном от какого то приложения
19.08.18 09:41
1 0

И что должно говорить слово дедик и апи? Там товарищ ниже ещё слово ддос вспомнил. Журнала ">какер" начитались и умными словами хвастаете? >какер через апи задидосил канал ютюба(!) на дедике, ага.
19.08.18 10:35
0 0

И что дедик, что API и что увод токена? И кто же у меня на проданном телефоне работал с моим токеном от какого-то приложения - об этой чудесной истории я слышу в первый раз в жизни.
19.08.18 11:00
0 0

а что слово дедик уже никому ничего не говорит ? Я уже не говорю про API , увод токена...и т .д.
Феерический бред. Сразу напомнило: "Я знаю каратэ, кунг-фу, дзюдо и еще много других страшных слов"
23.08.18 12:50
0 0

"Не приписывайте злому умыслу то, что легко объясняется простым раздолбайством".
19.08.18 09:04
0 6

Помню, когда только запустили новый сайт Эха, Веник носился с этим вот "зарегистрированный пользователь". Типа, если зарегистрирован, то твои каменты сразу появляются в ленте, а если нет, то повисают где-то там на модерации. Ну, всё вроде бы логично, так у всех, но дьявол в деталях. Для того, чтобы стать "зарегистрированным" на Эхе вовсе не надо было прописывать свой email, идти в ящик, подтверждать его и т.д. Нужно было просто в поле отправки камента вбить любую чушь с @ и всё -- твой камент появлялся мгновенно как от зарегистрированного пользователя.
И так вот всё у них (при всём уважении). А ещё могли девайс с настроенным Ютубом тиснуть...
egi
19.08.18 07:22
0 0

секьюрити май эсс. Банки взламывают, а тут пароль Венедиктова.

Ну, кто-то получил список подписчиков, на всякий случай.
19.08.18 02:38
0 0

Вообще-то, как показывает жизнь, все неприятности объясняются всего тремя причинами:
1. Полтергейст.
2. Нонсенс.
3. Позитронно-квантовое запаздывание (это самый простой случай, когда пользователь совершает правильные действия в неправильное время или в неправильной последовательности).
А если конкретно, при таких исходных данных очень может помочь осадок в чашке от кофе. Ну и Рябцева, конечно.
19.08.18 02:29
0 7

Не удивлён.
Через всё, что делает ААВ и его станция, красной нитью проходит небрежность и непрофессионализм. И виной тому - их монопольное положение в этом сегменте рынка.
19.08.18 01:29
3 3

А вот соглашусь. Сайт "Эха" самый кривой из тех, на которые захожу регулярно. Эти их paper clips отвратно выглядят by design из-за разной длины, так еще и криво реализованы, поэтому налазят друг на друга. Попробуйте в теле статьи выделить что-то чтобы загуглить по правому клику, фиг вам. Достоинством трансляций в ютуб называется возможность послушать, о чем гости с хостами разговаривают в рекламных паузах, ага, счас, уровень громкости в эти моменты падает иногда до полной неслышимости. Очевидно, что техобеспечением занимаются либо студенты за еду, либо взятые по блату родственники/знакомые. В-общем, уверен, как говорят в армии, канал у них не с..здили, канал они про..али.
19.08.18 07:11
0 4

Монопольное положение в сегменте рынка эфирного радио? Вы серьёзно?
19.08.18 10:37
1 0

Монопольное положение? Оборжаться...
19.08.18 11:02
0 1

Про сайт - это точно. Однажды зашел туда случайно без адблока - ну и редкостная помойка, втыкать рекламу даже после каждого абзаца длинного текста - это что-то. И мобильная версия ужас-ужас, так мало того, никак не могут хотя бы в куках сделать, чтобы запоминался выбор "показывать полную версию", каждый раз в телефоне меедленно пытается загрузиться мобильная версия, а потом меедлненно чуть менее неудобная полная
19.08.18 11:25
0 1

Он имеет в виду монопольное положение в сегменте "независимые от власти и ее позиции".
19.08.18 12:24
0 0

Да, сайт говно.
19.08.18 12:25
0 1

News & politics talk radio?
Подкажите кто ещё в этом сегменте, и я их с интересом послушаю.
19.08.18 12:53
1 0

News & politics talk radio?Подкажите кто ещё в этом сегменте, и я их с интересом послушаю.
дык, традиционные радио свобода и бибиси? Или их уже запретили?

ЗЫ а ещё этот... Маяк!
19.08.18 17:19
0 0

У меня на первом месте по кривизне сайт сноба, из за перегруженности рекламой на первом айпаде не открывается вообще. Сайт эха на втором (и последнем, все остальные сайты работают), открывается через раз
19.08.18 17:38
0 0

Вы всерьёз или стебаетесь?
AM против FM - это не конкуренция.
"Маяк" - это не talk radio.
19.08.18 23:43
0 0

Вы всерьёз или стебаетесь?
AM против FM - это не конкуренция
так вы послушать хотели или себя показать?
И что, talk radio всерьёз слушают эфирными приёмниками? Бросьте, только некоторые по дороге на работу в авто же. Остальные давно пользуются интернет-вещанием и подкастами.
20.08.18 09:37
0 0

И что, talk radio всерьёз слушают эфирными приёмниками? Бросьте, только некоторые по дороге на работу в авто же. Остальные давно пользуются интернет-вещанием и подкастами.
Про бритву Хитченса слыхали? "What can be asserted without evidence can be dismissed without evidence".
По данным TNS Global, самый большой сегмент аудитории Эха - люди старше 60-ти и большинство из них слушает эфир.
Кстати, вы сами задали систему отсчёта в своём комментарии
Монопольное положение в сегменте рынка эфирного радио?
а теперь двигаете штанги.
21.08.18 08:11
0 0

Алекс, в упор не понимаю твоей уверенности в том, что там была двухфакторная аутентификация. Обычно самое просто объяснение и оказывается самым правильным: был задан только пароль, и он каким-то образом попал к злоумышленникам. Не удивлюсь даже, если он был от руки написан на стикере и приклеен к монитору Соломина. Обычное расп... разгильдяйство никто не отменял.
19.08.18 01:21
0 3

Я благодаря этому взлому зашёл на Эхо Общество и посмотрел передачу "На пальцах" с Ириной Воробьёвой и Андреем Коняевым. Тот самый Коняев, который в старой Ленте писал интересно про науку. Очень понравилось.
Bor
19.08.18 01:09
0 1

на счет взлома не знаю, а восстановить контент можно через саппорт. проверено.
там же нифига не удаляется в реале, так что отмену можно сделать легко и просто.
19.08.18 00:16
0 0

Как взломали без понятия. А как восстановили понятно, весь YouTube просто большая база данных. Причем хранение собственно видео это самая простая часть. Так что, backup обязан быть. И на сами видео очевидно тоже есть backup. Это в конце концов огромный бизнес, который Google не хочет потерять из-за какой-нибудь досадной случайности.
18.08.18 23:53
0 0

У них же сервера все забирали пару лет назад, после ухода Рябцевой.
18.08.18 23:53
1 1

При чем тут Рябцева и серверы?
18.08.18 23:55
1 1

Ни при чем. Помню, что было примерно тогда.
Канал они тогда активно не вели, но какие-то аттрибуты доступа вполне могли храниться там.
19.08.18 02:07
0 0

Как уже сегодня кто-то писал, на Эхе явно у кого-то троян на компе, через него и заходили. Иначе - никак! Даже, если знаешь (подобрал, взломал) пароль от Гугл-аккаунта, он не даст зайти с другого IP или девайса просто так. Потребует код через смс или доп.емейл, даже если двухфакторная авторизация не включена. Даже если войдешь с нового ip/устройства, то тебе гугл пришлет емейлы об этом.
Собственно, все крупные сервисы - и гугл, и яху, и микрософт, уже давно так делают. Поэтому, представить ситуацию со "взломом" крупного медийного канала очень сложно. Тут явно или троян, или...
18.08.18 23:21
0 2

Так точно, минимум нужно было дернуть куки с сессией.
19.08.18 03:16
0 0

"Троян" - это тоже взлом, какбы, в общем смысле слова.
19.08.18 11:34
0 0

Что касается восстановления, то типовая ситуация с точки зрения сервиса при запросе на удаление, не удалять физически все данные сразу, а просто отключать аккаунт. Делать ему Disable без стирания. А стирать все только через N дней после отключения. В этом случае что-то восстановить - дело нажатия одной кнопки. В ентерпрайз среде такое повсюду используется.
18.08.18 23:16
0 3

Пароль можно попросить. Очень вежливо. Вместе с телефоном для 2FA.
18.08.18 23:12
0 0

Для этого нужен сайт который выглядит 1 в 1 как тот который нужно взломать, у меня так стим уводили, дав ссылку на свой профиль при обмене, но ссылка вела но похожий сайт, вместо steamcommunity, был steamconnynity, но тут странно зачем бы кому-то переходить по чужой ссылке на свой же ютуб канал, тогда возможна заменили ссылку на сайт через файл hosts, но для этого нужен доступ к компу кого-то кто бы вводил имя, пароль и код подтверждения на вход на канал.
18.08.18 22:41
0 0

Не, не катит, слишком примитивно. Опять-таки - не прокатывает с двухфакторной аутентификацией.
18.08.18 22:47
0 0

. Опять-таки - не прокатывает с двухфакторной аутентификацией.
Что значит не прокатит? Отлично прокатывает. Фишинг на то фишинг. Тебе приходит уведомление, что тебя пытаются ломать, срочно смените пароль. Ты бегом бежишь на сайт, попадаешь на фальшифку, сам своими руками вводишь разовый пароль полностью уверенный, что проводишь процедуру смены пароля, а робот пересылает введенный тобой код с сайта-фальшифки на настоящий. Все, аккаунт ушел.
18.08.18 23:09
0 0

Очень длительный опыт в ИТ показывает, что подобные вещи в 95% случаев - внутренняя утечка информации. Обычно или раздолбайство или обиженный сотрудник.
18.08.18 23:10
0 2

Описанный метод позволяет узнать пароль то бишь один из факторов аутентификации.
Чтобы авторизоваться и, тем более, сменить пароль, этого мало.
19.08.18 07:46
0 0

И что? Ну, узнали пароль. И что это даст?
19.08.18 11:03
0 0

И что? Ну, узнали пароль. И что это даст?
Ну и всё. Пароль ввели, код из смс-ки ввели - этой всё форвардится на настоящий ютуб и происходит вход. Ну а далее удаление канала, как я понимаю.
19.08.18 18:45
0 0

Описанный метод позволяет узнать пароль то бишь один из факторов аутентификации.Чтобы авторизоваться и, тем более, сменить пароль, этого мало.
Почему мало то? Если фальшивый сайт стоит как прокладка, то вполне достаточно. И пароль, и смс-код потерпевший введет своими же руками. Схема рабочая, так в клиент-банках деньги уводили. Теперь в смс-сообщениях нормальные банки стали писать, для какого действия пришел конкретный код. Но невнимательость никто не отменял
20.08.18 16:35
0 0

А что, сам Гугл вместе с его Ютьбом взломать нельзя, что ли?
18.08.18 22:37
0 0

Не знаю. А кто-нибудь когда-нибудь Гугл с его Ютьюбом взламывал?
18.08.18 22:46
0 1

www.welivesecurity.com
The world’s most popular YouTube video has been hacked
Hackers have managed to deface an array of popular YouTube music videos, changing titles and thumbnail images.
18.08.18 23:10
0 0

Тут тоже непонятно в чем был "взлом". Может, пароль подобрали.
18.08.18 23:51
0 0

The world’s most popular YouTube video has been hacked
так тут, вроде, канал vevo просто угнали.
19.08.18 10:41
0 0

Взломать можно абсолютно все. unlaba выше перечислил далеко не полный список инструментов для такого взлома. Вопрос в другом - даже малейший взлом - это УК, поэтому те, кто решатся на взлом (который еще и настолько публичен), то они должны неизбежно решать вопросы наподобие: какая цена взлома, какая цель, какая крыша и т.д.

А хороший взлом - еще и незаметный взлом. Никто никогда не узнает, сколько раз Гугл и Ютуб взламывали, и никто, даже сам гугл, не знает - взломан ли он сейчас и пользуется ли кто-то внутренней информацией. Ожидание тщательного подхода к безопасности очень сильно преувеличено. Оставляя в стороне дискуссию об общем качестве Касперского, недавно всплыла бага (старая), в которой их Secure Connection передавал запрос к DNS-серверам по незащищенному каналу. Если уж в таком продукте такая откровенная дырка, то что можно говорить о толпе гастарбайтеров-кодеров в гугле. Думаю, не надо напоминать, как они "случайно" пособирали открытые вайфаи, и как у них рухнул Google+ в начале своей жизни из-за того, что на диске тупо закончилось место.

А в данной ситуации вообще могли просто случайно сами потереть канал и заявить, что взломали (вообще мог сотрудник с доступом случайно грохнуть и побояться об этом сказать) - я не говорю, что тут было именно так, но так тоже бывает гораздо чаще, чем кажется.
19.08.18 17:11
0 0

Видимо, как и со всеми чекистскими "взломами", банальный фишинг.
Как и везде, там ничего не удаляется полностью, поэтому и можно восстановить. Но, учитывая, "популярность" канала Эха, все это больше похоже на самострел ради пиара.
18.08.18 22:35
5 0

Насчет восстановления. Я так понимаю, у Гугла кэши специальные имеются на сей счет.
18.08.18 22:34
0 0

И где они? У меня есть канал на Youtube. Первый раз слышу про какие-то кэши.
18.08.18 22:51
0 0

Через саппорт точно можно восстановить удаленное видео, данные сразу не трутся подчистую. Но канал должен быть достаточно популярным, чтобы саппорт пошел навстречу. Если саппорт отреагирует на просьбу, пришлют такую форму. С удаленным каналом думаю такая же процедура.
19.08.18 00:14
0 0

Абсолютно точно должны быть бэкапы. В их системе координат место для хранения - самый дешевый элемент. Чем более рейтинговый пользователь, тем более выгодно обеспечить для него восстановление данных, если они потеряются. Возможно, они не афишируют, но бэкапят точно.
19.08.18 17:16
0 0

Я не специалист, у меня и канала на YouTube нет, но там разве не единый аккаунт ко всему сразу, в смысле, если подобрал пароль на Gmail, то получаешь доступ ко всем сервисам Google, включая YouTube? Ну это на счёт "Подобрать пароль для известной почты gmail - при условии, что пароль задавал идиот - это запросто."
18.08.18 22:29
0 0

Google Лочит подозрительные попытки входа. Чтоб так просто взломать - нужно чтоб пароль был совсем простой или админ совсем лох.
18.08.18 22:34
0 0

Канал нужно создавать всё равно, другое дело, что он будет привязан к основному аккаунту Google
18.08.18 22:41
0 0

Отдельный аккаунт можно делать к каждому сервису.
18.08.18 22:46
0 0

Ничего подобного.
18.08.18 22:47
0 0

Не просто лочит, а еще и сообщает на все привязанные адреса.
18.08.18 22:48
0 1

Не просто лочит, а еще и сообщает на все привязанные адреса.
ну, вот через час админ проснулся, прочитал почту и разогнал хацкеров и тараканов 😄
19.08.18 10:42
0 0

Проснулся, протер глаза с бодуна, подумал: "Во блин, может это я ночью заходил, пока был пьян"...
19.08.18 17:17
0 0

Это не поможет, если на компьютере админа канала стоит скрытое удаленное управление, и когда админ засыпает, просыпается хакер. Тем более что офисные компьютеры все чаще и чаще не отключают на ночь, а нерадивые работники, нарушая офисные политики, устанавливают удаленку, чтобы можно было из дома подключаться. Если это Team Viewer какой-нибудь (еще и с нарушением лицензии - бесплатная версия супротив корпоративной, которая должна быть в таком случае), то достаточно просто подключиться к рабочему столу, открыть браузер с сохраненной учеткой, и все к чертям удалить.
19.08.18 17:19
0 0
Теги
Сортировать по алфавиту или записям
BLM 21
Calella 144
exler.ru 277
авто 446
видео 4040
вино 360
еда 510
ЕС 61
игры 114
ИИ 29
кино 1585
попы 194
СМИ 2784
софт 936
США 137
шоу 6