💡 Ótima ideia que você apresentou, Filipe! Seu canal seria o primeiro que conhe · gpoleszuk

Em resposta a Canal Gameplayrj no YouTube foi Hackeado. Alguém sabe como isso funciona?

💡 Ótima ideia que você apresentou, Filipe!

Seu canal seria o primeiro que conheço a oferecer a opção para definir dois passwords com níveis distintos de acesso. Algo, como uma masterkey, para raramente acessar as informações de cadastro, e outra para ações mais corriqueiras!

Se ideia engaja, vários sites poderiam manter as informações de cadastro do usuário fora da mesma seção de serviço.

Invasão de contas

A preocupação é justificável, mas é recomendável aguardar a solução do caso, pois esse incidente com o Gameplayrj foi relatado ontem (20). Também não entendi o que realmente ocorreu levando em conta os relatos prestados pelo youtuber aos seguidores. Seria mais uma vítima do YTStealer? Seguem mais três reportagens 1 2 3.

Não sabemos se é uma brecha da plataforma, mas se todos inscritos pedissem esclarecimentos, pelo menos uma nota poderia ser dada pelo gestor de segurança do Youtube! Afinal, fica a dúvida, e eles são os detentores da tecnologia e dos logs! Enquanto uma manifestação da plataforma não aparece, extraio algumas lições:

O processo de recuperação de conta parece ser logicocrático, temos que saber lidar com isso por enquanto
"Diversifique suas plataformas de divulgação!" Ter mais de um canal de comunicação com seu público pode ser útil caso um deles seja comprometido temporariamente, porém as credenciais de acesso não podem ficar todas com a mesma pessoa!

🔠 FOR DUMMIES

Ataques
Todas as vezes que tomo conhecimento pela mídia de ações hackers, procuro observar os efeitos do incidente ao longo do tempo e a partir de alguns pontos de vista:

Negativos:

traz vários transtornos gerais para o usuário
gera uma desconfiança sobre os critérios de segurança da plataforma
causa considerável perda de tempo, monetização, seguidores

Parcialmente negativos:

o canal pode ganhar uma certa evidência face à sua relevância
traz à tona a (falsa) impressão de segurança no ambiente digital
por mais seguros que sejam os protocolos, quando (maus) hábitos de uso imperam, comprometem o sigilo da informação

Positivos:

o setor de relacionamento da plataforma é colocado à prova
boas atitudes, por parte dos seguidores, são colocadas em prática
- busca por conhecimento para se protejer e como proceder num eventual incidente
- reforçar as formas de autenticação que adota
- procurar e fechar possíveis brechas passíveis de serem exploradas
- usar o 2FA em cada acesso (jamais pedir para lembrar o dispositivo, pois isso invalida o papel do 2FA)
- se possível, verificar como é o caminho de recuperação de uma conta
os infratores serão encontrados, pois nada não há nada oculto que não venha a ser revelado

❄️️ Na curiosidade, sacrifique uma VM, mas não seu PC de produção : )

Senhas
Penso que MegaYoutubers deveriam utilizar, pelo menos, um smartcard, consultado à cada sessão além de fatores adicionais, revogando outras sessões simultâneas (junto com a ideia do agjunior, implementar também o geofenced login).

Segundo meu ponto de vista, acredito que passwords, passphrases ainda são pessoais e intransferíveis. Atitudes que vão em sentido contrário a esse princípio (como salvá-las no navegador, password managers) podem ferir cláusulas do contrato firmado entre as partes, mas esse assunto é bem polêmico e, talvez por isso, as plataformas também disponibilizam opções de 2FA.

De qualquer forma, as duas partes (plataforma e usuário) têm certo grau de responsabilidade num eventual incidente de segurança, ainda que a parte mais fraca dependa de uma infraestrutura que também pode ter vulnerabilidades.

filipedeschamps

2 anos atrás

Sensacional sua resposta meu caro!

Só para entender: com o smartcard, eu criaria uma nova sessão para cada vez que fosse necessário usar o canal? E depois destruir a sessão.

To pensando aqui que isso também poderia deixar um overlap entre a sessão aberta e um ataque (até de zero-clicks) caso a pessoa faça alguma outra coisa no meio tempo como consultar o Google para uma resposta.

Dado a isso me veio uma ideia maluca que seria meio que criar um container executável do painel do YouTube (com Electron, por exemplo) para pelo menos a sessão ficar dentro daquele binário. Assim pelo menos há uma chance dos scripts do hacker não puxar os dados dos navegadores instalados e qualquer navegação que a pessoa fizer ficará fora desse container.

Faz sentido?

[edit] ou até dentro de uma VM

filipemoraes

2 anos atrás

A maioria dos ataques são sociais, por exemplo, hackers que se passam por funcionários de uma empresa que conseguem convencer a vítima de que se trata de um contato oficial. A partir daí é como abrir uma brecha no dique.

No caso de alguns ataques aos youtubers foi utilizado justamente essa técnica, inclusive em alguns casos os emails eram oficiais e solicitavam a instalação de um executável para ter acesso antecipado ao respectivo jogo. O hacker atacou primeiro um funcionário da empresa e a partir daí contatou os youtubers.

A conclusão que chego é que podemos ter o nível de segurança e retundância da aviação, mas haverá sempre o fator humano que irá desencadear os eventos.

Por enquanto a edução digital é a forma mais eficiênte de evitar problemas, as pessoas precisam se informar e aprender a trabalhar no mundo digital, desconfiar de tudo e verificar as fontes. A era digital não é diferente de outras transformações pelo qual passamos e como sempre precisamos nos adaptar a esse meio se queremos sobreviver.

gpoleszuk

Autor

2 anos atrás

Olá FilipeDeschamps!

Você tem razão, ideias beem🙃 malucas* e faz sentido sua dúvida/comentário. De qualquer forma sempre haverá uma possível janela para ataque com auxílio do fator humano! Há pouco a FláviaCarvalho publica novidades que até notificações de MFA por push podem ser comprometidas. Acredito que é factível, pois já exploram acesso remoto a dispositivos móveis. Encurto minha resposta referenciando as palavras do seu xará que foi direto ao ponto.

No fim, a solução de defesa fica tão complicada quanto uma partida de xadrez rss, jogada a 2 contra 1 (hacker+usuário x TI)! Boa discussão, que reviveu a história da engenharia desses ataques com evidências já publicadas lá em 2020.

* Ideia maluca: sandbox sobre VM sobre live session em RAM 100% volátil ou educar/substituir uma pecinha atrás do teclado.