12 Aprile 2022
Non è certo la prima volta che YouTube viene hackerato, né sarà l'ultima. Ma quel che è successo - o, meglio, che sta succedendo - non è un buon segnale per la sicurezza della piattaforma di video streaming e, se vogliamo allargare l'orizzonte, di tutti i servizi offerti da Google. Sono diversi i casi che si stanno verificando di infiltrazione all'interno di alcuni account di creator popolari in rete per sostituire i video originali con messaggi pubblicitari di criptovalute.
E a preoccupare è il fatto che per fare ciò è stato violato il sistema di autentificazione a due fattori che Big G ha introdotto prima per gli iscritti al Partner Program - i creator, appunto, e in generale coloro che monetizzano attraverso YouTube - per poi estenderlo a tutti. Tra questi, anche il popolare youtuber Mrwhosetheboss (aka Arun Maini) è rimasto vittima dell'attacco.
Fortunatamente, per ora, i casi sono limitati, ed hanno riguardato sia creator che account YouTube che si occupano di criptovalute. Tutti mostrano - mostravano, meglio dire, perché sono stati rimossi in quanto violavano le regole della piattaforma - la moneta digitale oggetto della "pubblicità", con tanto di indirizzo a cui rivolgersi, prezzo e la scritta "One World Cryptocurrency". Ad accompagnare il messaggio, un simpatico (si fa per dire) segnale acustico associato alla parola "Preview" che si ripete in loop.
IT GOT CROPPED this is the FULL video pic.twitter.com/NWSy4gBSpZ
— +1000 social credits (@infernoduz) January 24, 2022
I danni sembrano essere limitati a questo: sostituire il video originale con un messaggio pubblicitario sulle criptovalute. Tutto qua, insomma, senza alcuna intenzione (almeno così pare) di rubare dati personali o cancellare gli altri video pubblicati dall'account vittima dell'attacco. E dunque come è stato possibile eludere il sistema di autenticazione a due fattori?
L'IPOTESI PIÚ ACCREDITATA
Qui si entra nel campo delle ipotesi: una di queste si chiama SIM Swapping, tecnica che di per sé non è illegale, essendo ad esempio alla base del sistema di portabilità del proprio numero telefonico. In pratica, è una metodologia per separare l'identità fisica della SIM da quella digitale del numero di telefono. Un hacker può affidarsi a questa soluzione per ottenere il numero telefonico della vittima, ad esempio con pratiche di social engineering per aggirare l'operatore telefonico convincendolo a consegnargli una nuova SIM fisica spacciandosi per il vero cliente.
In questo modo, l'hacker (o gli hacker, non è ancora stato appurato) sarebbe riuscito nell'intento non solo di rubare i dati di accesso all'account Google della vittima, ma anche di ottenere il codice di autenticazione che si riceve sul proprio smartphone come ulteriore verifica. Una volta inserita la sequenza corretta, il danno è fatto.
Commenti
concordo, troppi.
Non lo conoscevo. Grazie!
Vado controcorrente: il titolo secondo me è appropriato. Non è stata usata probabilmente la tecnica del SIM swapping. Non credo proprio che un hacker o una crew (più white che black hat, a giudicare dai danni inferti) si sia data la pena di chiedere un mucchio di SIM agli operatori telefonici soltanto per sostituire i video dei creators con un proprio video dalla dubbia redditività. A me sembra un'azione dimostrativa per mostrare cosa l'hacker (o la crew) è capace di fare.
Idem blackgeek
"semplice", acquisti una SIM con un famigliare (genitori, sorella/fratello, etc) e la usi solo per gestire l'sms Google.
Ovviamente tu farai affidamento alle varie Authy, Key, etc.
Ecco che per usare l'sms devono farne di strada prima.
Titolo del tutto fuorviante, articolo praticamente a zero valore aggiunto.
Dday
Purtroppo ormai molto siti hanno fatto la stessa fine.
Ma che razza di titolo è?
Ho aperto l'articolo perché sarebbe stata una cosa gravissima l'autenticazione a 2 fattori di Google bucata, e poi scrivete che è stata elusa (cosa ben diversa) con una pratica arci nota, ovvero quella del SIM swapping.
Li vogliamo evitare sti titoli da schifo?
sto cercando anche io... ma tomshw ormai e' pure peggio, altri italiani non so
ce ne sono ma è poco carino scriverle qui
ci sono le guide di google, basta che togli il telefono dai metodi di autenticazione
Una alternativa?
Grazie, mi metto alla ricerca dell'opzione allora!
ma non lo vedi che non è il professore :) (cit)
ormai si viene qui solo per capire quanto è profonda la tana del bianconiglio, per caso ho visto una live su twitch in cui parlavano di dazn e hanno infilato una serie di caxxate che dopo 30 secondi sono passato ad altro.
Questo è il blog del salumiere che vuole parlare di tecnologia, con tutto il rispetto per il salumiere
Sinceramente nessun "obbligo" (che io ricordi)... sono io che non voglio il mio cellulare associato ad alcun account... anche perchè non saprei se inserire quello ITA o quello CZ.. anche perchè, in vita, li ho entrambi pure cambiati un paio di volte (cosa personale, obv; so che normalmente uno ha lo stesso numero "da sempre"... io no)
puoi disattivarlo e lasciare l'app come unica opzione
ormai hdblog e' caduta veramente in basso.
articoli che riguardano la tecnologia/informatica ridotti all'osso, magari escono pure in ritardo e quei pochi che fate, sono pure sbagliati (nel titolo dite che la 2fa e' stata bucata e poi sotto scrivete che l'ipotesi piu' accreditata e' il sim swapping), poi escono notizie super dettagliate che non c'entrano un ca**o col tema del blog, ma si sa... oggi e' meglio parlare di green pass, vaccini e attentati con i droni piuttosto che parlare bene di tecnologia.
fortuna ublock
Io non ho alcun numero di telefono registrato nei miei account... ho 2 YUBIKO per il mio account e basta (*). Ci sono su YT i video tutorial del caso...
(*) 2 perchè una è con me sempre e l'altra in cassaforte a casa; se ne avessi una sola e si "rompesse", la perdessi o altro, perderei COMPLETAMENTE l'accesso al mio account... Non ho "accessi in altro modo" attivi.
Nella schermata in cui ti chiede di inserire il codice preso dall'app Google Authenticator, non c'è l'opzione "Effettua l'accesso in altri modi" (o qualcosa del genere, non so come sia tradotto in Italiano) con successiva possibilità di selezionare il metodo di codice via SMS?
Sono giornalai
Il problema è che mi pare Google NON ti permetta di escludere il secondo fattore via SMS, anche se attivi il secondo fattore via auth app, auth key, etc.
Hai sempre la possibilità di premere "fai l'accesso in un altro modo" (quando ti chiede la chiavetta o il codice dell'app di autenticazione etc) e selezionare l'opzione per ricevere il codice via SMS.
yubico o in generale quelli che seguono standard fido2 sono token usb, non sono quelli della banca
Parliamo di una YUBIKO KEY che è altra cosa...
Ottimo modo di NON fare informazione... se hai il 2FA su SMS sei un PIRL@ e meriti di essere hackerato, ma NESSUNO ha "bucato" il 2FA quanto trattasi di SIM SWAP o similia.
Per il 2FA ci sono le APP apposite (Authy, G-Auth, etc...) e per i CREATOR di YT con TANTI follower, si usa una YUBIKO KEY !!!
Le basi, cribbio, le baaaasiiii...
Piccola nota a margine: un conto è dire "2FA Bucata" un conto è dire "2FA Bypassata". Sono due cose completamente diverse.
chi lo apriva se titolavano youteber fessi si fanno fregare gli accessi grazie alle assurde procedure delle compagnie telefoniche per il cambio operatore.
io ho la 2fa con l'app di google authenticator, non bisogna farsi mandare per forza sms
i token fisici ormai li stanno abolendo pure le banche
Qualche mese fa ricordo capitò la stessa cosa (in italia) ai Nirkiop
La vedo dura fare sim swap su larga scala, solitamente è un attacco che ha come target una specifica persona, solitamente un VIP o executive account che giustifichi lo sforzo.
Molto più probabile che la 2FA sia stata bucata tramite phishing, e che gli utenti siano stati indotti a immettere i loro codici, che fossero via SMS o Google Authenticator, in una finta pagina Google, oppure che tutto ciò sia stato automatizzato tramite malware come app in grado di leggere gli SMS e spedire i codici a bot che poi si preoccupavano di fare l'autenticazione, qualcosa del genere. Sono comunque attacchi complessi, ma su larga scala ovviamente qualcuno ci casca. Anche il prompt (il messaggio che ti chiede di confermare se sei tu a accedere) può in teoria essere phishato.
Poi chissà quanta gente riceve le notifiche della 2FA, da Google, app della banca o chicchessia, e senza neanche pensare "aspetta un momento, io non sto accedendo" clicca su OK. Su larga scala sai quanti ne trovi.
Nell'industria si sa (o meglio, si dovrebbe sapere) che l'unico modo di fare 2FA non phishabile è una security key hardware in grado di firmare i messaggi certificando che il client di accesso è lo stesso che ha richiesto l'autenticazione.
A meno che uno non si prenda un malware magari così evoluto da riuscire a fare l'intero processo di autenticazione con 2FA e upload del video direttamente tutto dal telefono. :)
chi campa con queste attività (youtube, twitch, instagram, ecc) prima cosa che dovrebbe fare è passare a token fisico
ma arrivate tardi, c'è stato un attacco un paio di settimane fa a youtube italia, canali come i theShow sono stati bucati da gente che faceva dirette sulle criptovalute.... che NON notizia...
Se l'ipotesi valutata è quella più accreditata, per l'ennesima volta avete cannato il titolo al costo di ottenere 4 click in più.
Se una SIM viene clonata allo scopo di "rubare" l'OTP della 2FA, non è certo il sistema di autenticazione a due fattori ad essere bucato.
come a black geek..
MFA con token dispositivo (anche app) e basta sms