Executando verificação de segurança...

filipedeschamps

2 min de leitura ·

Canal Gameplayrj no YouTube foi Hackeado. Alguém sabe como isso funciona?

Nos últimos dias o canal Gameplayrj com 8.27 milhões de inscritos foi hackeado e estava transmitindo aquelas Lives com golpes utilizando criptomoedas. Tudo já voltou ao normal, mas isso me deixou pensando: Alguém aqui no TabNews sabe como esse tipo de hack funciona?

Em nenhum momento o Davy Jones falou no vídeo de volta como que de fato ele foi hackeado, segundo ele, foi um "hacking sofisticado".

Duvido ser sofisticado e minha suspeita é que ele, ou alguém da equipe dele, executou algum arquivo infectado (como algum crack para algum jogo) ou acessou alguma página comprometida usando uma versão desatualizada de algum navegador que ao final fez ser possível roubar o token de sessão do canal dele, ou algum serviço intermediário conectado ao canal dele foi comprometido.

Fico curioso, pois eu não gostaria de ter meu canal hackeado e principalmente gostaria de deixar o TabNews cada vez mais protegido nesse ponto. Entendo que não vai ser uma batalha fácil, pois nem o YouTube está conseguindo se proteger desses casos, mas não vamos largar a mão de deixar o acesso aqui o mais protegido possível. Há muito o que fazer ainda, como autenticação de dois fatores, autenticação para aplicações, "sudo passwords" (pedir sua senha de novo para executar algum comando importante), e tudo que podemos imaginar para nos protegermos iremos fazer ao longo do desenvolvimento do projeto 🤝

Bom, reforço aqui de novo: alguém sabe como esse hack está acontecendo?

💡 Ótima ideia que você apresentou, Filipe!

Seu canal seria o primeiro que conheço a oferecer a opção para definir dois passwords com níveis distintos de acesso. Algo, como uma masterkey, para raramente acessar as informações de cadastro, e outra para ações mais corriqueiras!

Se ideia engaja, vários sites poderiam manter as informações de cadastro do usuário fora da mesma seção de serviço.

Invasão de contas

A preocupação é justificável, mas é recomendável aguardar a solução do caso, pois esse incidente com o Gameplayrj foi relatado ontem (20). Também não entendi o que realmente ocorreu levando em conta os relatos prestados pelo youtuber aos seguidores. Seria mais uma vítima do YTStealer? Seguem mais três reportagens 1 2 3.

Não sabemos se é uma brecha da plataforma, mas se todos inscritos pedissem esclarecimentos, pelo menos uma nota poderia ser dada pelo gestor de segurança do Youtube! Afinal, fica a dúvida, e eles são os detentores da tecnologia e dos logs! Enquanto uma manifestação da plataforma não aparece, extraio algumas lições:

O processo de recuperação de conta parece ser logicocrático, temos que saber lidar com isso por enquanto
"Diversifique suas plataformas de divulgação!" Ter mais de um canal de comunicação com seu público pode ser útil caso um deles seja comprometido temporariamente, porém as credenciais de acesso não podem ficar todas com a mesma pessoa!

🔠 FOR DUMMIES

Ataques
Todas as vezes que tomo conhecimento pela mídia de ações hackers, procuro observar os efeitos do incidente ao longo do tempo e a partir de alguns pontos de vista:

Negativos:

traz vários transtornos gerais para o usuário
gera uma desconfiança sobre os critérios de segurança da plataforma
causa considerável perda de tempo, monetização, seguidores

Parcialmente negativos:

o canal pode ganhar uma certa evidência face à sua relevância
traz à tona a (falsa) impressão de segurança no ambiente digital
por mais seguros que sejam os protocolos, quando (maus) hábitos de uso imperam, comprometem o sigilo da informação

Positivos:

o setor de relacionamento da plataforma é colocado à prova
boas atitudes, por parte dos seguidores, são colocadas em prática
- busca por conhecimento para se protejer e como proceder num eventual incidente
- reforçar as formas de autenticação que adota
- procurar e fechar possíveis brechas passíveis de serem exploradas
- usar o 2FA em cada acesso (jamais pedir para lembrar o dispositivo, pois isso invalida o papel do 2FA)
- se possível, verificar como é o caminho de recuperação de uma conta
os infratores serão encontrados, pois nada não há nada oculto que não venha a ser revelado

❄️️ Na curiosidade, sacrifique uma VM, mas não seu PC de produção : )

Senhas
Penso que MegaYoutubers deveriam utilizar, pelo menos, um smartcard, consultado à cada sessão além de fatores adicionais, revogando outras sessões simultâneas (junto com a ideia do agjunior, implementar também o geofenced login).

Segundo meu ponto de vista, acredito que passwords, passphrases ainda são pessoais e intransferíveis. Atitudes que vão em sentido contrário a esse princípio (como salvá-las no navegador, password managers) podem ferir cláusulas do contrato firmado entre as partes, mas esse assunto é bem polêmico e, talvez por isso, as plataformas também disponibilizam opções de 2FA.

De qualquer forma, as duas partes (plataforma e usuário) têm certo grau de responsabilidade num eventual incidente de segurança, ainda que a parte mais fraca dependa de uma infraestrutura que também pode ter vulnerabilidades.

filipedeschamps

Autor

Sensacional sua resposta meu caro!

Só para entender: com o smartcard, eu criaria uma nova sessão para cada vez que fosse necessário usar o canal? E depois destruir a sessão.

To pensando aqui que isso também poderia deixar um overlap entre a sessão aberta e um ataque (até de zero-clicks) caso a pessoa faça alguma outra coisa no meio tempo como consultar o Google para uma resposta.

Dado a isso me veio uma ideia maluca que seria meio que criar um container executável do painel do YouTube (com Electron, por exemplo) para pelo menos a sessão ficar dentro daquele binário. Assim pelo menos há uma chance dos scripts do hacker não puxar os dados dos navegadores instalados e qualquer navegação que a pessoa fizer ficará fora desse container.

Faz sentido?

[edit] ou até dentro de uma VM

A maioria dos ataques são sociais, por exemplo, hackers que se passam por funcionários de uma empresa que conseguem convencer a vítima de que se trata de um contato oficial. A partir daí é como abrir uma brecha no dique.

No caso de alguns ataques aos youtubers foi utilizado justamente essa técnica, inclusive em alguns casos os emails eram oficiais e solicitavam a instalação de um executável para ter acesso antecipado ao respectivo jogo. O hacker atacou primeiro um funcionário da empresa e a partir daí contatou os youtubers.

A conclusão que chego é que podemos ter o nível de segurança e retundância da aviação, mas haverá sempre o fator humano que irá desencadear os eventos.

Por enquanto a edução digital é a forma mais eficiênte de evitar problemas, as pessoas precisam se informar e aprender a trabalhar no mundo digital, desconfiar de tudo e verificar as fontes. A era digital não é diferente de outras transformações pelo qual passamos e como sempre precisamos nos adaptar a esse meio se queremos sobreviver.

Olá FilipeDeschamps!

Você tem razão, ideias beem🙃 malucas* e faz sentido sua dúvida/comentário. De qualquer forma sempre haverá uma possível janela para ataque com auxílio do fator humano! Há pouco a FláviaCarvalho publica novidades que até notificações de MFA por push podem ser comprometidas. Acredito que é factível, pois já exploram acesso remoto a dispositivos móveis. Encurto minha resposta referenciando as palavras do seu xará que foi direto ao ponto.

No fim, a solução de defesa fica tão complicada quanto uma partida de xadrez rss, jogada a 2 contra 1 (hacker+usuário x TI)! Boa discussão, que reviveu a história da engenharia desses ataques com evidências já publicadas lá em 2020.

* Ideia maluca: sandbox sobre VM sobre live session em RAM 100% volátil ou educar/substituir uma pecinha atrás do teclado.

O Gabriel Pato abordou isso em dois vídeos:

Como canais de Youtube estão sendo HACKEADOS? - Ft. Teafe

Caso Zangado: Analisei o vírus por trás dos canais hackeados - Golpe usa o nome do Cyberpunk 2077?

O virus analisado pelo Gabriel Pato mais parece uma Matrioska!

Matrioska é um brinquedo artesanal e tradicional da Rússia.

Também conhecida como “boneca russa”, a matrioska é caracterizada por reunir uma série de bonecas de tamanhos variados que são colocadas uma dentro das outras.
Fonte: significados.com.br

Depois desta, vou editar meu post aqui : )

Muito bom os vídeos do Gabriel Pato!!

John Hammond, um hacker com moderada visibilidade nas redes sociais, foi alvo de uma tentativa de ataque, segundo o vídeo publicado recentemente (30.08.2022) no canal NetworkChuck.

Primeiramente, o physing foi construído de tal forma a se passar por uma adverência do Youtube, um Copyright Infringement Warning. Se causasse o efeito desejado no usuário (desespero), o faria clicar no link presente nesse email, levando-o a uma landing page. O algoritmo no backend age e responde de acordo com metadados do browser dificultando um pouco o processo forense de rastreio. John Hammond em seu perfil no Twitter postou o ocorrido, explicando num vídeo em seu canal boa parte dos detalhes da engenharia desse ataque.

As others have pointed out, this is an example of Redline Stealer malware. This is EXTREMELY COMMON for creators, used with ploys and deceptions to try and retrieve credentials and access. The threat to have a channel suspended can be terrifying for most and often seals the deal.
Fonte: https://twitter.com/_JohnHammond/status/1564281164407488515

🌴 Moral da História: "Nada é tão urgente que não possa esperar até amanhã."

Nenhuma empresa séria e respeitável irá avisá-lo somente no último dia de prazo, forçando-o a tomar ações em desespero. Redobre sua atenção às suas atitudes e decisões quando nos extremos de (alegria/excesso de confiança) versus (tristeza/desespero).

Recentemente o Leon explicou um dos métodos usados neste corte.

Mas já ouvi também de outros YouTubers que envolve um pouco de engenharia social para convencer a rodar um programa no computador da pessoa e roubar a sessão do navegador.

Por isso não é gerado um alerta de login ou mesmo sequer é usada a autenticação de duas etapas porque a sessão já está logada. No entanto, acredito que há uma brecha muito grande por parte do Google em não checar atividades suspeitas quando o dispositivo ou localização muda radicalmente.

filipedeschamps

Autor

No entanto, acredito que há uma brecha muito grande por parte do Google em não checar atividades suspeitas quando o dispositivo ou localização muda radicalmente.

Isto que fico me perguntando, se uma sessão é roubada, como identificar isso? Pois o que o atacante pode estar fazendo é conectar numa VPN que disponibilize um IP próximo do computador que acabou de ser comprometido.

Teve uma época, acho que em 2020, que vários canais foram hackeados. O Zangado gravou um vídeo explicando como hackearam o canal dele, na época.

Estou no celular, então não consigo elaborar esse comentário melhor, mas o vídeo é curto. Se me lembro direito, alguém que tinha acesso ao canal baixou um PDF por e-mail, que parecia muito verídico um contato de uma publisher de jogos, e aí teve a conta comprometida.

Se eu falei besteira, por favor me corrijam aqui, isso é o que me lembro do vídeo.

Seriam PDFs infectados (ainda são efetivos?) ou PDFs com conteúdo atrativo (eng. social, clickbait)?

Alguns sites (fora do grupo de serviços Google) aceitam login com uma conta Facebook, Google, gitHub etc. Acredito que nenhum youtuber faz isso com as credenciais de sua conta! 😏 Google passou a tomar certas ações referente à compartilhamento de senhas com aplicações, conforme essa matéria, implementando a ideia de app-specific password, aplicável em certos casos.

O Peter Jordan, do Ei Nerd, também já teve o canal hackeado e no caso dele, segundo a explicação, foi um arquivo malicioso e engenharia social. Pelo que me lembro, ele explicou que recebeu contato por email para testar um jogo na época, acho que era o Cyberpunk 2077. E o sobrinho dele, durante um almoço de família, perguntou se poderia instalar e jogar, e ele permitiu.

Os hackers se passavam pela CdProjekt Red, conversaram com a equipe comercial dele e tudo mais. Na hora de executar o arquivo recebeu alerta de virus e acabou desativando ele para poder instalar, afinal, se era um game de uma desenvolvedora grande, não tinha motivos para desconfiar. Quando executou o arquivo do instalador do jogo teve os dados do navegador dele hackeados e os hackers conseguiram acesso às contas que estavam logadas naquele computador.

Ele conta em detalhes nesse video aqui

O curioso é que o Peter foi programador por muitos anos, e mesmo assim não escapou. Isso mostra que independente de quem você seja, você está sempre vulnerável.

👏 Verdade! PC de trabalho é igual escova de dentes, não dá para compartilhar.

Aproveitando esse "climinha" de teorias da conspiração, o que me chama atenção nesses hacks é que na maioria são pessoas que demonstram bons conhecimentos de tecnologia, vide Loop Infinito, Ei Nerd e agora o Game Play RJ, por esse motivo dúvido muito que são infectados na abertura de arquivos ou afins. Na mesma linha todos esses são fãs de games e ai vai minha teoria, acredito que possa ter algum Game envolvido, um launcher, uma extensão e etc... 🤔

A galera do Loop falou bastante sobre. Mas não deu pra idenitificar como o segundo fator de autenticação foi burlado.

Se o segundo fator fosse por link, poderia ser aquela explosão de mensagens de autenticação, na qual uma delas, sem querer, recebe o clique da pessoa.

Mas acredito que o Google nem oferece essa opção. O que sei que eles têm é e-mail e telefone.

Enfim, permanece um mistério!