Source: iMore

Si vous avez suivi l’actualité technologique cette semaine, vous avez probablement entendu parler ou vu de première main comment plusieurs chaînes YouTube ont succombé à une cyberattaque généralisée. Au cours de la semaine dernière environ, de nombreuses chaînes ont vu leur sécurité compromise par des attaquants, qui ont commencé à diffuser de faux flux en direct annonçant des escroqueries Bitcoin. À bien des égards, l’attaque fait écho à une récente brèche sur Twitter qui a généré des milliers de dollars en Bitcoin arnaqué après qu’un employé de Twitter a été payé pour donner accès aux pirates.

Bien que les détails des hacks eux-mêmes varient légèrement, un thème central demeure. Tous se sentent totalement déçus par YouTube.

Pourtant, la saga YouTube est très différente de la récente violation de Twitter à bien des égards, le plus important étant la réponse apparemment laxiste de YouTube au problème. Nous avons rencontré trois grands créateurs YouTube pour savoir exactement ce qui est arrivé à leurs chaînes et ce qui s’est passé lorsqu’ils ont demandé de l’aide sur YouTube. Bien que les détails des hacks eux-mêmes varient légèrement, un thème central demeure. Tous se sentent totalement déçus par YouTube.

J’ai parlé avec Craig Groshek, directeur / propriétaire de Chilling Entertainment, et l’administrateur de Chilling Tales for Dark Nights, une chaîne de divertissement audio d’horreur de plus de 1500 vidéos et 340k abonnés, de ce qui s’est passé.

Craig a non seulement été victime du piratage, mais il s’est également exprimé sur Twitter pour tenter d’obtenir de l’aide pour de nombreux autres créateurs qui ont été pris dans le scandale. Deux de ces canaux sont «itsAamir» et «PapaFearRaiser». Entre les deux, ils comptent près de deux millions d’abonnés. Comme Groshek, Aamir et Jordan (PapaFearRaiser) Antle ont tous deux vu leurs chaînes compromises, et ils ont aussi gentiment accepté de partager leurs histoires.

Qu’est-il arrivé?

Aamir, Antle et Groshek ont ​​tous découvert que leurs comptes YouTube avaient été compromis au cours des deux dernières semaines. Il a été constaté que les trois chaînes diffusaient des vidéos d’arnaque Bitcoin en direct encourageant les utilisateurs à envoyer Bitcoin à une adresse BTC avec la promesse que l’argent serait doublé. Les vidéos ressemblaient à l’image ci-dessous. Tous les trois ont également constaté que la plupart, sinon la totalité de leurs vidéos YouTube avaient été rendues privées et que leurs chaînes avaient été rebaptisées. C’était courant dans tous les hacks que nous avons vus sur YouTube.

Source: Craig Groshek

«Ma chaîne a été compromise le 29 juillet 2020, vers 16 heures, heure du Pacifique», explique Groshek. « Les pirates de l’air ont totalement contourné 2FA et n’ont pas changé mes mots de passe, ni tenté de rediriger mon AdSense. Au contraire, ils ont défini toutes mes vidéos comme privées à l’exception de trois, et ont mis en place des escroqueries Bitcoin en direct, et ont changé mon nom en Tesla, ainsi que mon logo. Ils ont supprimé toutes mes listes de lecture et mes connexions à ma chaîne, et ont vidé la description de ma chaîne. «

Beaucoup ont rapidement pleuré l’échange de cartes SIM et une sorte de contournement 2FA alors que certains de ces hacks se déroulaient. Cependant, les histoires de nos trois créateurs révèlent ici un mode de fonctionnement bien plus sinistre. Dans la perspective de la compromission de leurs canaux, Aamir, Antle et Groshek ont ​​tous reçu des courriels d’entreprises, leur proposant prétendument des contrats de parrainage pour connecter des logiciels à leurs canaux.

« Il y a deux semaines, j’ai reçu un e-mail de sponsor, dans lequel on m’a dit de faire de la publicité pour l’éditeur vidéo » Resolve 16 « sur ma chaîne », explique Aamir. Il s’avère que l’e-mail était faux. Après avoir parlé d’abord par courrier, puis par WhatsApp, Aamir a reçu un lien de téléchargement vers le logiciel. Attiré par l’opération apparemment authentique, Aamir a essayé d’exécuter le logiciel sur son PC, seulement pour rencontrer un message d’erreur, puis rien. À ce stade, il savait que quelque chose n’allait pas.

Antle (PapaFearRaiser) raconte une histoire similaire:

J’ai essentiellement reçu ce qui semblait être un e-mail professionnel « professionnel ». C’était quelqu’un qui disait qu’il représentait une entreprise appelée Magix Studios et que nous m’offrons une opportunité commerciale pour promouvoir son produit. Une fois que j’ai accepté, ils m’ont envoyé le lien du produit à télécharger (ce que je supposais être sûr car j’ai fait ce genre de chose auparavant et c’était 100% légitime) et une fois que j’ai téléchargé le fichier WinRAR et l’ai ouvert, rien n’avait arrivé.

Comme Aamir, Antle savait que quelque chose n’allait pas dans le logiciel sur lequel il venait de cliquer. En moins de 60 minutes, toute sa chaîne YouTube avait été compromise.

Jordan a reçu une chaîne effrayante d’e-mails indiquant que le téléphone de récupération avait été changé pour sa chaîne, puis pour dire que 2FA était désactivé, puis rallumé, puis que son mot de passe avait été changé et qu’un nouvel appareil s’était connecté. Une sauvegarde code a été utilisé pour se connecter au canal, puis une autre alerte de nouvel appareil est arrivée. Enfin, il a reçu un e-mail pour dire qu’une vidéo intitulée « Coinbase Live Conference: Coinbase Earn Recap 07/29/20 était maintenant en direct sur sa chaîne. Le tout en l’espace d’une heure.

Source: Jordan Antle

Comme Groshek et Aamir, toutes les vidéos d’Antle ont été rendues privées et la chaîne a été rebaptisée Coinbase Live.

Certainement un malware

« Certainement un malware ». J’ai rencontré Rich Mogull, analyste sécurité pour Securosis et RSSI pour DisruptOps pour disséquer ces histoires. «Les fichiers WinRAR sont l’une des sources les plus courantes», poursuit-il, expliquant comment les pirates pourraient utiliser des logiciels malveillants pour créer des connexions à partir d’un ordinateur de confiance afin de modifier le mot de passe et les paramètres de sécurité (y compris MFA ou 2FA) pour prendre le contrôle d’un compte. Lorsque vous désactivez 2FA sur Google, vous n’obtenez pas d’invite 2FA pour confirmer la modification, car vous êtes déjà connecté en tant qu’utilisateur de confiance sur un appareil ou un navigateur de confiance.

En outre, suggérer que le logiciel malveillant, et non l’échange de carte SIM, était à blâmer, l’un des premiers messages qu’Antle a reçus était de dire que son 2FA avait été désactivé, et non qu’il avait été utilisé pour se connecter à un autre appareil ou navigateur. Les histoires n’empêchent pas une sorte d’attaque par échange de carte SIM 2FA (et il y a beaucoup d’autres créateurs compromis qui pourraient avoir commis cela), mais elles semblent suggérer que dans ces deux cas, une attaque de malware était la principale cause. Windows Defender a déclaré à Aamir après le fait que le programme qu’il avait téléchargé semblait suspect, mais à ce moment-là, il était trop tard.

L’histoire de Groshek est un peu différente. Comme Aamir et Antle, il a reçu un e-mail suspect concernant un contrat de parrainage de logiciels, mais après avoir fait des recherches supplémentaires et reçu un lien de téléchargement de logiciel, il a décidé de ne pas cliquer dessus. Il a cependant remarqué une capture d’écran jointe à l’e-mail. Mogull dit que cela pourrait indiquer une attaque de logiciel malveillant «au volant», par laquelle un logiciel malveillant aurait pu être utilisé même sans que Groshek ne clique sur le lien de téléchargement du logiciel. Mogull note en outre que parfois, dans le cas d’un «drive-by», vous n’avez même pas à lire l’e-mail.

Les YouTubers ne sont pas étrangers à recevoir des offres de parrainage par e-mail, et Antle me dit qu’il les a déjà reçues, à la fois réelles et fausses, concernant d’éventuelles offres de sponsors. Les faux e-mails sont un fil conducteur dans chaque histoire ici, et même si Groshek n’a pas cliqué sur le sien, il semble probable que recevoir l’e-mail de suivi en premier lieu aurait pu suffire. Il y a certainement une chance que le logiciel malveillant, au cours de l’extraction des données des ordinateurs de la victime, ait également récupéré des numéros de téléphone pour un échange de carte SIM, et 2FA par SMS reste un moyen assez fragile de consolider n’importe quel compte en ligne. Mais les logiciels malveillants semblent avoir été la principale méthode utilisée pour compromettre les trois canaux des créateurs avec lesquels nous avons parlé.

Laisser tomber le ballon

Si la façon dont ces comptes semblent avoir été compromis n’était pas assez pénible, la réponse de YouTube était sans doute pire.

Source: iMore

Aamir a tweeté YouTube la nuit où il s’est rendu compte qu’il avait été piraté et a reçu un DM de TeamYouTube. Comme pour les autres créateurs, il a été invité à remplir un formulaire spécial, après quoi ils ont dit qu’un membre de l’équipe de piratage de Creator Support allait entrer en contact par e-mail.

D’après Aamir, YouTube doit générer le formulaire et envoyer un lien spécial à un créateur piraté, après quoi il dispose de 72 heures pour le remplir, seul le message disant « Nous vous avons donné accès à ce formulaire » ne contenait aucun lien de ce type . Le jeudi 6 août, Aamir avait attendu trois jours que YouTube prenne contact, après quoi YouTube lui a simplement dit que « le processus initial de confirmation d’un compte piraté peut prendre quelques semaines » et qu’ils seraient en contact . Au moment de la rédaction de cet article, la chaîne d’Aamir est toujours totalement compromise. Il attend toujours une réponse, les vidéos de sa chaîne sont toutes toujours privées et le nom de la chaîne porte toujours la marque « Ethereum Foundation [LIVE]».

Antle raconte une histoire similaire. « YouTube a également été très douloureux », dit-il. «Ils ont essentiellement donné des réponses impassibles et j’ai été laissé dans le noir pendant la majorité de ces 4 jours. Leur équipe Twitter n’a pas beaucoup aidé et m’a fait sentir que ma situation n’était pas grave alors qu’elle l’était manifestement. Ils ne l’ont vraiment pas fait. t me donner l’impression qu’ils avaient ma sécurité à l’esprit. «

Heureusement pour Antle, quelqu’un de YouTube a en fait repris contact et sa chaîne a en grande partie été restaurée. Mais il ne peut toujours pas publier de vidéos, nous en reparlerons plus tard…

Groshek a aussi récupéré sa chaîne, mais pas sans se battre. Il m’a expliqué comment YouTube fournit « peu ou pas de ressources pour expliquer comment les contacter et résoudre ce problème en ligne », sans mentionner les comptes Twitter comme @TeamYouTube ou les forums d’assistance Google. «Ils ne vous disent pas que TeamYouTube sont des intermédiaires sans autorité», dit-il, «ou que ces hacks et détournements se poursuivent depuis des années».

Groshek dit que sa confiance en YouTube est si ébranlée qu’il envisage de quitter la plate-forme au cours de l’année prochaine.

Groshek dit qu’il a fallu une semaine avant qu’un membre de l’assistance YouTube Creator ne contacte par e-mail, peut-être après avoir publié sur les forums d’assistance de Google. Vous pouvez imaginer sa surprise quand on lui a dit qu’ils n’avaient aucun lien avec @TeamYouTube et qu’il devrait à nouveau fournir toutes les informations à un deuxième département. Non seulement cela, mais aucun des deux départements ne pouvait gérer le problème directement et devrait transmettre les informations à son équipe de détournement. Groshek a décrit son expérience comme « épouvantable » et que la gestion de la crise par YouTube lui avait fait plus de mal, ainsi qu’aux autres chaînes, qu’aux hackers. Il continue:

« Indépendamment du fait que les opérateurs de chaînes » ont craqué pour « les attaques de phishing sophistiquées, etc., YouTube doit reconnaître qu’ils sont la cible principale de ce type d’attaques et mettre en œuvre des méthodes de protection plus efficaces pour éviter que cela ne se produise … ils ne peuvent pas suivre.

Mais il y a plus

Ce n’est pas seulement l’interaction directe de YouTube avec les créateurs qui est discutable. Plusieurs fois cette semaine, moi et d’autres utilisateurs de YouTube avons vu de faux flux en direct Bitcoin poussés sur nos pages d’accueil YouTube en tant que vidéos recommandées. Vous ne pouvez vraiment pas vous réconcilier.

YouTube me recommande également le flux. pic.twitter.com/7baqhOrKAo – Rene Ritchie (@reneritchie) 6 août 2020

Les conséquences pour tous les créateurs, en particulier Aamir (qui n’a toujours pas sa chaîne en arrière) sont considérables. De nombreux créateurs ont perdu des abonnés à la suite des piratages, 1 200 pour Groshek et plus de 10 000 pour Antle. Sans parler de la perte de revenus publicitaires alors que leurs chaînes étaient compromises, à la fois à cause de vidéos cachées et de l’impossibilité de télécharger.

Pour ajouter plus d’insulte à la blessure, Antle et Groshek ont ​​reçu des avertissements pour violation de la communauté sur leurs chaînes en raison de la diffusion en direct de l’arnaque Bitcoin.

Pour ajouter plus d’insulte à la blessure, Antle et Groshek ont ​​reçu des avertissements pour violation de la communauté sur leurs chaînes en raison de la diffusion en direct de l’arnaque Bitcoin. Bien qu’il soit vraisemblablement au courant du piratage, YouTube a automatiquement rejeté l’appel des deux. Dans un Tweet, Antle a déclaré:

Hey @ytcreators J’ai littéralement fait appel de cette grève et, comme je l’avais pensé, elle a été rejetée. Pouvez-vous s’il vous plaît demander à une équipe interne de m’aider? Ce n’est vraiment pas juste. Je suis puni pour avoir été piraté? pic.twitter.com/AQSlc2CIOu – PapaFear VA 🎙️ (@TheFearRaiser) 7 août 2020

Pour ajouter l’insulte à l’insulte, YouTube a ensuite réinitialisé la pénalité d’interdiction de téléchargement sur la chaîne d’Antle parce qu’il avait fait appel de la décision. Il a fait appel avec seulement quatre jours de l’interdiction de sept jours, mais il doit maintenant attendre sept jours supplémentaires avant de pouvoir télécharger des vidéos sur sa chaîne principale, dont le premier sera un avertissement à ses abonnés et à la communauté. son expérience.

Source: Jordan Antle

Comme Antle, Groshek n’a pu publier aucune vidéo sur sa chaîne Chilling Tales jusqu’à hier, le 7 août. Bravo, YouTube.

Aamir, Antle et Groshek ne sont pas les seuls créateurs concernés. Notamment, le fuyant Apple Jon Prosser a vu sa chaîne YouTube FrontPageTech compromise. Pour éviter tout dommage supplémentaire, l’intégralité de la chaîne FPT a été supprimée de YouTube, trois jours plus tard; ils n’ont rien entendu en réponse.

Récapituler

Les trois créateurs à qui nous avons parlé ne sont que la pointe de l’iceberg. Comme nous l’avons mentionné précédemment, Groshek en particulier a vivement critiqué YouTube dans sa gestion de dizaines de chaînes qui ont été piratées ces derniers jours, montrant que de nombreux autres créateurs ont été touchés.

Ajoutez @AdamDuffArt et @jon_prosser à la liste de ceux qui ont été piratés par des escrocs Bitcoin cette semaine. @ctfdn_official, @TheFearRaiser, @AlexHalford, @RecDTRH, @eltito_delfifa, @aamiristhis et @KhujLeeFamily. Combien d’autres doivent tomber avant de faire quelque chose pour arrêter ça, @TeamYouTube? pic.twitter.com/GJY4rTj6ip – Contes effrayants pour les nuits sombres (@ctfdn_official) 6 août 2020

Compte tenu de la nature des hacks (les flux en direct Bitcoin, la privatisation des vidéos, le changement de nom des chaînes), il semble fort probable que bon nombre de ces attaques proviennent de la même source. Comme indiqué, les trois créateurs avec lesquels nous nous sommes entretenus semblent avoir été exposés à des logiciels malveillants grâce à la promesse d’accords de parrainage de logiciels. Même si seuls deux des trois créateurs ont effectivement téléchargé des fichiers suspects, la probabilité d’une attaque au volant via l’e-mail reçu par Groshek semble suggérer que les logiciels malveillants, plutôt que l’échange de cartes SIM, ont peut-être été le principal mode d’attaque.

Il est impossible de dire ce qui s’est passé dans les nombreux autres cas concernant les canaux avec lesquels nous n’avons pas parlé, et il est possible que de nombreuses méthodes différentes, ou peut-être une combinaison de certains exploits, aient été utilisées pour accéder à ces comptes. .

Les trois créateurs à qui nous avons parlé ne sont que la pointe de l’iceberg.

Ce qui ne semble pas faire de doute, cependant, c’est à quel point YouTube semble avoir mal traité les créateurs à qui nous avons parlé. Pour eux et pour d’innombrables autres, YouTube est leur source de revenus et de moyens de subsistance. Pourtant, lorsqu’ils sont allés sur YouTube pour obtenir de l’aide, une communication médiocre ou peut-être pas, les grèves de chaîne pour violations de la communauté et les appels rejetés contre ces grèves ont laissé un goût amer. Pour Groshek, il suffisait de le convaincre qu’il était temps de quitter l’estrade, cela pourrait bien convaincre les autres.

Au moment de la rédaction de cet article, Google n’avait pas répondu à notre demande de commentaire sur cette histoire.