Адрес для входа в РФ: exler.world
Канал взломали и удалили
18.08.2018 22:16
23706
Комментарии (80)
Э... Мне кто-нибудь может объяснить, как можно "взломать и удалить" youtube-канал с двухфакторной аутентификацией (даже я такую использую, а уж что на "Эхе" такую не используют - я поверить не могу) и как его при таком крутом взломе можно восстановить (очевидно, что если взломали, то все данные аутентификации поменяли) со всеми удаленными данными через несколько часов?
Я просто интересуюсь. Я саму технологию что взлома, что восстановления не понимаю в упор. И не понимаю слова "взлом" - о "взломе" youtube-канала слышу первый раз в жизни. Подобрать пароль для известной почты gmail - при условии, что пароль задавал идиот - это запросто. А "взлом"?
Тут только два варианта. Или у youtube большие проблемы с безопасностью, во что я не верю ни разу, или что тут какое-то дело темное со стороны "Эха".
P.S. Может, админ канала пароль просто забыл? Бывает такое...
Войдите, чтобы оставить комментарий.
Двухфакторная аутентификация очень слабая защита. Об этом уже написано куча статей и более серьезных работ безопасников.
1. Украсть пароль. Сотрудники активно пользуются личными ноутами на работе, это даже в эфире того же ютюба видно. Они эти ноуты таскают везде, в поездках, на прессухах и т.д. и скорее всего пихают его в публичные вайфаи. Это серьезная точка уязвимости, можно как потырить тафик прямо налету, можно подсунуть вредонос, винда это все сожрет. Дальше дело техники.
2. Собственно перехват смс. Для этого есть куча вариантов. Тупо делается дубликат симки, очень распространенный способ. Или на телефон который указан как контактный запихивается троян, очень много способов как это сделать, дыр полно. И т.д.
И вуа-ля! Если мы говорим о публичном ресурсе как канал Эха, у которого довольно много "недоброжелателей", то вполне вероятно направленная атака. И провести эту атаку может, ну не школьник, но студент 2-3 курса точно сможет.
И это все с учетом того, что все настроено как положено. Не стоит недооценивать раздолбайство, это страшная сила.
ps вот ссылка на заметку журнала Хакер еще от 2016 года, там же есть ссылка на первоисточник документ The National Institute of Standards and Technology, NIST.
xakep.ru
вот свежая новость как украли несколько миллионов в крипте взломав двухфакторную аутентификацию
xakep.ru
1. Украсть пароль. Сотрудники активно пользуются личными ноутами на работе, это даже в эфире того же ютюба видно. Они эти ноуты таскают везде, в поездках, на прессухах и т.д. и скорее всего пихают его в публичные вайфаи. Это серьезная точка уязвимости, можно как потырить тафик прямо налету, можно подсунуть вредонос, винда это все сожрет. Дальше дело техники.
2. Собственно перехват смс. Для этого есть куча вариантов. Тупо делается дубликат симки, очень распространенный способ. Или на телефон который указан как контактный запихивается троян, очень много способов как это сделать, дыр полно. И т.д.
И вуа-ля! Если мы говорим о публичном ресурсе как канал Эха, у которого довольно много "недоброжелателей", то вполне вероятно направленная атака. И провести эту атаку может, ну не школьник, но студент 2-3 курса точно сможет.
И это все с учетом того, что все настроено как положено. Не стоит недооценивать раздолбайство, это страшная сила.
ps вот ссылка на заметку журнала Хакер еще от 2016 года, там же есть ссылка на первоисточник документ The National Institute of Standards and Technology, NIST.
xakep.ru
вот свежая новость как украли несколько миллионов в крипте взломав двухфакторную аутентификацию
xakep.ru
Что же касается банков, то для физиков я максимум что видел, это карточка с одноразовыми заранее сгенерированными паролями, которая выдается клиенту.
ИМХО очень удобно и надёжно.
Что же касается банков, то для физиков я максимум что видел, это карточка с одноразовыми заранее сгенерированными паролями, которая выдается клиенту.
У меня лежит в сумке такой генератор от одного из банков (для личного счета). Сначала вводишь пароль, потом система спрашивает токен: нажимаешь на брелоке и вводишь отображенный код. Неудобно безумно, но куда деваться.
Похожая штука есть и у майкрософта в его аутентификаторе - и это, кстати, более безопасно. Токен в сумке - любой может его вытащить, нажать на кнопку и получить код, поэтому это спасает от массированных атак, но вот при атаке "изнутри" может не спасти. Например, ушлый коллега подглядел пароль, дождался, пока ушел на горшок, и вытащил токен из сумки. Токен, конечно, можно и с собой таскать, но это лишь уменьшает простоту физического доступа к нему, но полностью не исключает.
А в телефоне так код получить уже сложнее, особенно если вход в телефон на глазах у других людей осуществляется только через отпечаток пальца.
Вообще, как я уже тут писал - взломать можно все, что угодно; главное - чтобы была цель, оправдывающая средства. И средства на такие средства, конечно 😄))
А с каких пор в ютюбе вторым фактором не смс, а хардварный токен?
Прежде всего под двухфакторной аутентификацией подразумевается что второй фактор это одноразовое смс. И в ютюбе именно так
При том имея контроль только над этим фактором, даже не зная пароля первого, можно легко войти в целевую систему
Это стандартный паттерн который все (почти) используют, через "забыли пароль" можно обнулить первый фактор и войти. И ютюб тоже.
Что же касается банков, то для физиков я максимум что видел, это карточка с одноразовыми заранее сгенерированными паролями
Но если второй фактор очень слабый и при его помощи можно обойти первый, становится даже хуже чем только логин-пароль
И не надо говорить мне что читать, а что нет
Сами бы лучше поучились читать и видеть в тексте не то что вам кажется, а то что там написано
Authenticator Assurance Level 1: AAL1 provides some assurance that the claimant controls an authenticator bound to the subscriber’s account. AAL1 requires either single-factor or multi-factor authentication using a wide range of available authentication technologies. Successful authentication requires that the claimant prove possession and control of the authenticator through a secure authentication protocol.
Authenticator Assurance Level 2: AAL2 provides high confidence that the claimant controls an authenticator(s) bound to the subscriber’s account. Proof of possession and control of two different authentication factors is required through secure authentication protocol(s). Approved cryptographic techniques are required at AAL2 and above.
Authenticator Assurance Level 3: AAL3 provides very high confidence that the claimant controls authenticator(s) bound to the subscriber’s account. Authentication at AAL3 is based on proof of possession of a key through a cryptographic protocol. AAL3 authentication requires a hardware-based authenticator and an authenticator that provides verifier impersonation resistance; the same device may fulfill both these requirements. In order to authenticate at AAL3, claimants are required to prove possession and control of two distinct authentication factors through secure authentication protocol(s). Approved cryptographic techniques are required
Начиная со второго уровня двухфакттрная аутентификация обязательна. На первом, самом простом уровне, не обязательна, но возможна.
Читайте то, что написано, а не бред из журнала >какер. Вы прямо наглядно и на примере показали, что даже предвыборные обещания путина содержат меньше вранья, чем статьи из >какера.
Вот только давайте не будем путать двухфакторную аутентификацию вообще и авторизацию через смс.Гугл неоднократно писал, что смс - это слабозащищенный канал, и в серьезных случаях его использовать не стоит.А вот использование в качестве второго фактора хардварных токенов наоборот, показало себя с самой лучшей стороны, и всячески гуглом приветствуется.В вашей же ссылке это сказано черным по белому.Вы сами-то читали?
И потом, львиная доля ресурсов в интернете вторым фактором использует именно смс, есть конечно исключения но их мало, даже в финансовой сфере.
Требуется новый стандарт который все будут готовы принять, но проблема в том что никто не чешется.какой стандарт? Опишите его.
какого рода пруф? В одном банке первый фактор - логин-пароль, второй фактор - генератор токенов. В другом банке, гм, там целых три фактора - логин-пароль + секурити кард + сертификат.
И не надо говорить мне что читать, а что нет. Сами бы лучше поучились читать и видеть в тексте не то что вам кажется, а то что там написано.
Вот только давайте не будем путать двухфакторную аутентификацию вообще и авторизацию через смс.
Гугл неоднократно писал, что смс - это слабозащищенный канал, и в серьезных случаях его использовать не стоит.
А вот использование в качестве второго фактора хардварных токенов наоборот, показало себя с самой лучшей стороны, и всячески гуглом приветствуется.
В вашей же ссылке это сказано черным по белому.
Вы сами-то читали?
Гугл неоднократно писал, что смс - это слабозащищенный канал, и в серьезных случаях его использовать не стоит.
А вот использование в качестве второго фактора хардварных токенов наоборот, показало себя с самой лучшей стороны, и всячески гуглом приветствуется.
В вашей же ссылке это сказано черным по белому.
Вы сами-то читали?
Требуется новый стандарт который все будут готовы принять, но проблема в том что никто не чешется.
Я вам привел русскоязычные источники что бы понятнее было,
от пруф заграничный, раз вы наших не любите: www.schneier.com/blog/archives/2016/08/nist_is_no_long.html
неслабая аутентификация по ключу, которую вы, болезый, способны сохранить от посторонних глаз.
неслабая аутентификация по ключу, которую вы, болезый, способны сохранить от посторонних глаз.
приведите хотя бы один пруф ваших слов
Банки не используют ничего другого, потому как пока не придумали лучше.
Но это не значит что это все такое секурное что спасу не.
Да, и не читайте журналов какер. Это просто смешно.
Ну и Google уже с 2017 года плавно начал отказываться от двухфакторной аутентификации:
gsuiteupdates.googleblog.com
gsuiteupdates.googleblog.com
Требуется новый стандарт который все будут готовы принять, но проблема в том что никто не чешется.
Вас в гугле забанили что ли? Я вам привел русскоязычные источники что бы понятнее было, еще в 2016 годы самая американская контора NIST признала двухфакторную аутентификацию ненадежной и более не рекомендовала ее использовать.
вот пруф заграничный, раз вы наших не любите: www.schneier.com
неслабая аутентификация по ключу, которую вы, болезый, способны сохранить от посторонних глаз.
Я тоже работал на несколько банков и даже западных в том числе. Так что кроме детсадовских коверкакний слов приведите хотя бы один пруф ваших слов. Банки не используют ничего другого, потому как пока не придумали лучше. Но это не значит что это все такое секурное что спасу не.
вот пруф заграничный, раз вы наших не любите: www.schneier.com
неслабая аутентификация по ключу, которую вы, болезый, способны сохранить от посторонних глаз.
Я тоже работал на несколько банков и даже западных в том числе. Так что кроме детсадовских коверкакний слов приведите хотя бы один пруф ваших слов. Банки не используют ничего другого, потому как пока не придумали лучше. Но это не значит что это все такое секурное что спасу не.
Двухфакторная аутентификация очень слабая защита. Об этом уже написано куча
Двухфакторная аутентификация очень слабая защита
У YouTube это случается с завидной регулярностью. Кто-то там решает, что количество подписчиков накручено ботами, и канал удаляют. Потом владелец бегает по потолку, "предъявляет ваши доказательства", и канал восстанавливают. Но уже без листа подписчиков.
Как уже здесь писали, взлом мог быть осуществлен посредством трояна, который занесли на компьютеры радиостанции. Сам троян мог установить кто-то из сотрудников (преднамеренно, или нет), мог быть взлом их wi-fi сети (не Пентагон же, ей богу), могли и смартфон чей-то задифейсить, и оттуда уже продолжать атаку.
Почему говоря о взломе все понимают под этим какой-то там прямой подбор паролей к аккаунту, или какую-то атаку непосредственно на целевую систему (ога, "пригоженские тролли"
нашли уязвимость в youtube). Конечно же нет. Это может и социальная инженерия быть, с фишингом, подкупом сотрудника, и утечка паролей с троянизированной машины (возможно это было даже не целенаправленно, просто кто-то случайно получил от своего ботнета данные, опа, а там "Эхо", ну и перепродали каким-нибудь "ольгинским" чтоб те устроили безобразие. Ну и как я уже писал, это может быть взлом wi-fi сети офиса (или взлом самого маршрутизатора), ибо, редакция находится в здании с кучей других офисов (можно быть в зоне досягаемости сигнала и спокойно вести взлом сидя за стеночкой), а эксплоиты для взлома WPA/WPA2 это вовсе никакая не фантастика.
ЗЫ: Как восстановили? Ну написали в саппорт, представились, объяснили ситуацию. Естественно со стороны юзера физически ничего не удаляется (по крайней мере не сразу), так что в саппорте просто отменили удаление и все вернулось.
Почему говоря о взломе все понимают под этим какой-то там прямой подбор паролей к аккаунту, или какую-то атаку непосредственно на целевую систему (ога, "пригоженские тролли"
нашли уязвимость в youtube). Конечно же нет. Это может и социальная инженерия быть, с фишингом, подкупом сотрудника, и утечка паролей с троянизированной машины (возможно это было даже не целенаправленно, просто кто-то случайно получил от своего ботнета данные, опа, а там "Эхо", ну и перепродали каким-нибудь "ольгинским" чтоб те устроили безобразие. Ну и как я уже писал, это может быть взлом wi-fi сети офиса (или взлом самого маршрутизатора), ибо, редакция находится в здании с кучей других офисов (можно быть в зоне досягаемости сигнала и спокойно вести взлом сидя за стеночкой), а эксплоиты для взлома WPA/WPA2 это вовсе никакая не фантастика.
ЗЫ: Как восстановили? Ну написали в саппорт, представились, объяснили ситуацию. Естественно со стороны юзера физически ничего не удаляется (по крайней мере не сразу), так что в саппорте просто отменили удаление и все вернулось.
Вот-вот! Все верно, вариантов мильон на самом деле.
а что слово дедик уже никому ничего не говорит ? Я уже не говорю про API , увод токена...и т .д. Помнится даже у Алекса на проданном телефоне кто-то спокойно работал с его токеном от какого то приложения
а что слово дедик уже никому ничего не говорит ? Я уже не говорю про API , увод токена...и т .д.
И что дедик, что API и что увод токена? И кто же у меня на проданном телефоне работал с моим токеном от какого-то приложения - об этой чудесной истории я слышу в первый раз в жизни.
И что должно говорить слово дедик и апи? Там товарищ ниже ещё слово ддос вспомнил. Журнала ">какер" начитались и умными словами хвастаете? >какер через апи задидосил канал ютюба(!) на дедике, ага.
"Не приписывайте злому умыслу то, что легко объясняется простым раздолбайством".
Помню, когда только запустили новый сайт Эха, Веник носился с этим вот "зарегистрированный пользователь". Типа, если зарегистрирован, то твои каменты сразу появляются в ленте, а если нет, то повисают где-то там на модерации. Ну, всё вроде бы логично, так у всех, но дьявол в деталях. Для того, чтобы стать "зарегистрированным" на Эхе вовсе не надо было прописывать свой email, идти в ящик, подтверждать его и т.д. Нужно было просто в поле отправки камента вбить любую чушь с @ и всё -- твой камент появлялся мгновенно как от зарегистрированного пользователя.
И так вот всё у них (при всём уважении). А ещё могли девайс с настроенным Ютубом тиснуть...
И так вот всё у них (при всём уважении). А ещё могли девайс с настроенным Ютубом тиснуть...
секьюрити май эсс. Банки взламывают, а тут пароль Венедиктова.
Ну, кто-то получил список подписчиков, на всякий случай.
Ну, кто-то получил список подписчиков, на всякий случай.
Вообще-то, как показывает жизнь, все неприятности объясняются всего тремя причинами:
1. Полтергейст.
2. Нонсенс.
3. Позитронно-квантовое запаздывание (это самый простой случай, когда пользователь совершает правильные действия в неправильное время или в неправильной последовательности).
А если конкретно, при таких исходных данных очень может помочь осадок в чашке от кофе. Ну и Рябцева, конечно.
1. Полтергейст.
2. Нонсенс.
3. Позитронно-квантовое запаздывание (это самый простой случай, когда пользователь совершает правильные действия в неправильное время или в неправильной последовательности).
А если конкретно, при таких исходных данных очень может помочь осадок в чашке от кофе. Ну и Рябцева, конечно.
Не удивлён.
Через всё, что делает ААВ и его станция, красной нитью проходит небрежность и непрофессионализм. И виной тому - их монопольное положение в этом сегменте рынка.
Через всё, что делает ААВ и его станция, красной нитью проходит небрежность и непрофессионализм. И виной тому - их монопольное положение в этом сегменте рынка.
И что, talk radio всерьёз слушают эфирными приёмниками? Бросьте, только некоторые по дороге на работу в авто же. Остальные давно пользуются интернет-вещанием и подкастами.
По данным TNS Global, самый большой сегмент аудитории Эха - люди старше 60-ти и большинство из них слушает эфир.
Кстати, вы сами задали систему отсчёта в своём комментарии
Монопольное положение в сегменте рынка эфирного радио?
Вы всерьёз или стебаетесь?
AM против FM - это не конкуренция
AM против FM - это не конкуренция
И что, talk radio всерьёз слушают эфирными приёмниками? Бросьте, только некоторые по дороге на работу в авто же. Остальные давно пользуются интернет-вещанием и подкастами.
Вы всерьёз или стебаетесь?
AM против FM - это не конкуренция.
"Маяк" - это не talk radio.
AM против FM - это не конкуренция.
"Маяк" - это не talk radio.
У меня на первом месте по кривизне сайт сноба, из за перегруженности рекламой на первом айпаде не открывается вообще. Сайт эха на втором (и последнем, все остальные сайты работают), открывается через раз
News & politics talk radio?Подкажите кто ещё в этом сегменте, и я их с интересом послушаю.
ЗЫ а ещё этот... Маяк!
News & politics talk radio?
Подкажите кто ещё в этом сегменте, и я их с интересом послушаю.
Подкажите кто ещё в этом сегменте, и я их с интересом послушаю.
Да, сайт говно.
Он имеет в виду монопольное положение в сегменте "независимые от власти и ее позиции".
Про сайт - это точно. Однажды зашел туда случайно без адблока - ну и редкостная помойка, втыкать рекламу даже после каждого абзаца длинного текста - это что-то. И мобильная версия ужас-ужас, так мало того, никак не могут хотя бы в куках сделать, чтобы запоминался выбор "показывать полную версию", каждый раз в телефоне меедленно пытается загрузиться мобильная версия, а потом меедлненно чуть менее неудобная полная
Монопольное положение? Оборжаться...
Монопольное положение в сегменте рынка эфирного радио? Вы серьёзно?
А вот соглашусь. Сайт "Эха" самый кривой из тех, на которые захожу регулярно. Эти их paper clips отвратно выглядят by design из-за разной длины, так еще и криво реализованы, поэтому налазят друг на друга. Попробуйте в теле статьи выделить что-то чтобы загуглить по правому клику, фиг вам. Достоинством трансляций в ютуб называется возможность послушать, о чем гости с хостами разговаривают в рекламных паузах, ага, счас, уровень громкости в эти моменты падает иногда до полной неслышимости. Очевидно, что техобеспечением занимаются либо студенты за еду, либо взятые по блату родственники/знакомые. В-общем, уверен, как говорят в армии, канал у них не с..здили, канал они про..али.
Алекс, в упор не понимаю твоей уверенности в том, что там была двухфакторная аутентификация. Обычно самое просто объяснение и оказывается самым правильным: был задан только пароль, и он каким-то образом попал к злоумышленникам. Не удивлюсь даже, если он был от руки написан на стикере и приклеен к монитору Соломина. Обычное расп... разгильдяйство никто не отменял.
Я благодаря этому взлому зашёл на Эхо Общество и посмотрел передачу "На пальцах" с Ириной Воробьёвой и Андреем Коняевым. Тот самый Коняев, который в старой Ленте писал интересно про науку. Очень понравилось.
на счет взлома не знаю, а восстановить контент можно через саппорт. проверено.
там же нифига не удаляется в реале, так что отмену можно сделать легко и просто.
там же нифига не удаляется в реале, так что отмену можно сделать легко и просто.
Как взломали без понятия. А как восстановили понятно, весь YouTube просто большая база данных. Причем хранение собственно видео это самая простая часть. Так что, backup обязан быть. И на сами видео очевидно тоже есть backup. Это в конце концов огромный бизнес, который Google не хочет потерять из-за какой-нибудь досадной случайности.
У них же сервера все забирали пару лет назад, после ухода Рябцевой.
Ни при чем. Помню, что было примерно тогда.
Канал они тогда активно не вели, но какие-то аттрибуты доступа вполне могли храниться там.
Канал они тогда активно не вели, но какие-то аттрибуты доступа вполне могли храниться там.
При чем тут Рябцева и серверы?
Как уже сегодня кто-то писал, на Эхе явно у кого-то троян на компе, через него и заходили. Иначе - никак! Даже, если знаешь (подобрал, взломал) пароль от Гугл-аккаунта, он не даст зайти с другого IP или девайса просто так. Потребует код через смс или доп.емейл, даже если двухфакторная авторизация не включена. Даже если войдешь с нового ip/устройства, то тебе гугл пришлет емейлы об этом.
Собственно, все крупные сервисы - и гугл, и яху, и микрософт, уже давно так делают. Поэтому, представить ситуацию со "взломом" крупного медийного канала очень сложно. Тут явно или троян, или...
Собственно, все крупные сервисы - и гугл, и яху, и микрософт, уже давно так делают. Поэтому, представить ситуацию со "взломом" крупного медийного канала очень сложно. Тут явно или троян, или...
"Троян" - это тоже взлом, какбы, в общем смысле слова.
Так точно, минимум нужно было дернуть куки с сессией.
Что касается восстановления, то типовая ситуация с точки зрения сервиса при запросе на удаление, не удалять физически все данные сразу, а просто отключать аккаунт. Делать ему Disable без стирания. А стирать все только через N дней после отключения. В этом случае что-то восстановить - дело нажатия одной кнопки. В ентерпрайз среде такое повсюду используется.
Пароль можно попросить. Очень вежливо. Вместе с телефоном для 2FA.
Для этого нужен сайт который выглядит 1 в 1 как тот который нужно взломать, у меня так стим уводили, дав ссылку на свой профиль при обмене, но ссылка вела но похожий сайт, вместо steamcommunity, был steamconnynity, но тут странно зачем бы кому-то переходить по чужой ссылке на свой же ютуб канал, тогда возможна заменили ссылку на сайт через файл hosts, но для этого нужен доступ к компу кого-то кто бы вводил имя, пароль и код подтверждения на вход на канал.
Описанный метод позволяет узнать пароль то бишь один из факторов аутентификации.Чтобы авторизоваться и, тем более, сменить пароль, этого мало.
И что? Ну, узнали пароль. И что это даст?
И что? Ну, узнали пароль. И что это даст?
Описанный метод позволяет узнать пароль то бишь один из факторов аутентификации.
Чтобы авторизоваться и, тем более, сменить пароль, этого мало.
Чтобы авторизоваться и, тем более, сменить пароль, этого мало.
Очень длительный опыт в ИТ показывает, что подобные вещи в 95% случаев - внутренняя утечка информации. Обычно или раздолбайство или обиженный сотрудник.
. Опять-таки - не прокатывает с двухфакторной аутентификацией.
Не, не катит, слишком примитивно. Опять-таки - не прокатывает с двухфакторной аутентификацией.
А что, сам Гугл вместе с его Ютьбом взломать нельзя, что ли?
Взломать можно абсолютно все. unlaba выше перечислил далеко не полный список инструментов для такого взлома. Вопрос в другом - даже малейший взлом - это УК, поэтому те, кто решатся на взлом (который еще и настолько публичен), то они должны неизбежно решать вопросы наподобие: какая цена взлома, какая цель, какая крыша и т.д.
А хороший взлом - еще и незаметный взлом. Никто никогда не узнает, сколько раз Гугл и Ютуб взламывали, и никто, даже сам гугл, не знает - взломан ли он сейчас и пользуется ли кто-то внутренней информацией. Ожидание тщательного подхода к безопасности очень сильно преувеличено. Оставляя в стороне дискуссию об общем качестве Касперского, недавно всплыла бага (старая), в которой их Secure Connection передавал запрос к DNS-серверам по незащищенному каналу. Если уж в таком продукте такая откровенная дырка, то что можно говорить о толпе гастарбайтеров-кодеров в гугле. Думаю, не надо напоминать, как они "случайно" пособирали открытые вайфаи, и как у них рухнул Google+ в начале своей жизни из-за того, что на диске тупо закончилось место.
А в данной ситуации вообще могли просто случайно сами потереть канал и заявить, что взломали (вообще мог сотрудник с доступом случайно грохнуть и побояться об этом сказать) - я не говорю, что тут было именно так, но так тоже бывает гораздо чаще, чем кажется.
А хороший взлом - еще и незаметный взлом. Никто никогда не узнает, сколько раз Гугл и Ютуб взламывали, и никто, даже сам гугл, не знает - взломан ли он сейчас и пользуется ли кто-то внутренней информацией. Ожидание тщательного подхода к безопасности очень сильно преувеличено. Оставляя в стороне дискуссию об общем качестве Касперского, недавно всплыла бага (старая), в которой их Secure Connection передавал запрос к DNS-серверам по незащищенному каналу. Если уж в таком продукте такая откровенная дырка, то что можно говорить о толпе гастарбайтеров-кодеров в гугле. Думаю, не надо напоминать, как они "случайно" пособирали открытые вайфаи, и как у них рухнул Google+ в начале своей жизни из-за того, что на диске тупо закончилось место.
А в данной ситуации вообще могли просто случайно сами потереть канал и заявить, что взломали (вообще мог сотрудник с доступом случайно грохнуть и побояться об этом сказать) - я не говорю, что тут было именно так, но так тоже бывает гораздо чаще, чем кажется.
The world’s most popular YouTube video has been hacked
Тут тоже непонятно в чем был "взлом". Может, пароль подобрали.
www.welivesecurity.com
The world’s most popular YouTube video has been hacked
Hackers have managed to deface an array of popular YouTube music videos, changing titles and thumbnail images.
The world’s most popular YouTube video has been hacked
Hackers have managed to deface an array of popular YouTube music videos, changing titles and thumbnail images.
Не знаю. А кто-нибудь когда-нибудь Гугл с его Ютьюбом взламывал?
Видимо, как и со всеми чекистскими "взломами", банальный фишинг.
Как и везде, там ничего не удаляется полностью, поэтому и можно восстановить. Но, учитывая, "популярность" канала Эха, все это больше похоже на самострел ради пиара.
Как и везде, там ничего не удаляется полностью, поэтому и можно восстановить. Но, учитывая, "популярность" канала Эха, все это больше похоже на самострел ради пиара.
Насчет восстановления. Я так понимаю, у Гугла кэши специальные имеются на сей счет.
Абсолютно точно должны быть бэкапы. В их системе координат место для хранения - самый дешевый элемент. Чем более рейтинговый пользователь, тем более выгодно обеспечить для него восстановление данных, если они потеряются. Возможно, они не афишируют, но бэкапят точно.
Через саппорт точно можно восстановить удаленное видео, данные сразу не трутся подчистую. Но канал должен быть достаточно популярным, чтобы саппорт пошел навстречу. Если саппорт отреагирует на просьбу, пришлют такую форму. С удаленным каналом думаю такая же процедура.
И где они? У меня есть канал на Youtube. Первый раз слышу про какие-то кэши.
Я не специалист, у меня и канала на YouTube нет, но там разве не единый аккаунт ко всему сразу, в смысле, если подобрал пароль на Gmail, то получаешь доступ ко всем сервисам Google, включая YouTube? Ну это на счёт "Подобрать пароль для известной почты gmail - при условии, что пароль задавал идиот - это запросто."
Это не поможет, если на компьютере админа канала стоит скрытое удаленное управление, и когда админ засыпает, просыпается хакер. Тем более что офисные компьютеры все чаще и чаще не отключают на ночь, а нерадивые работники, нарушая офисные политики, устанавливают удаленку, чтобы можно было из дома подключаться. Если это Team Viewer какой-нибудь (еще и с нарушением лицензии - бесплатная версия супротив корпоративной, которая должна быть в таком случае), то достаточно просто подключиться к рабочему столу, открыть браузер с сохраненной учеткой, и все к чертям удалить.
Проснулся, протер глаза с бодуна, подумал: "Во блин, может это я ночью заходил, пока был пьян"...
Не просто лочит, а еще и сообщает на все привязанные адреса.
Не просто лочит, а еще и сообщает на все привязанные адреса.
Ничего подобного.
Отдельный аккаунт можно делать к каждому сервису.
Канал нужно создавать всё равно, другое дело, что он будет привязан к основному аккаунту Google
Google Лочит подозрительные попытки входа. Чтоб так просто взломать - нужно чтоб пароль был совсем простой или админ совсем лох.
Теги
Информация
Что ещё почитать
Идеальные дни
12.09.2024
65
Вежливые философы дизайнерских лещей
01.11.2024
92
