Как YouTube каналы угоняют даже не зная пароля
История заключается в том, что практически любой Ютуб канал с двухфакторной авторизацией можно угнать, не зная даже пароля от него.
Смысл заключается в том, что на почту жертве приходит письмо с рекламным запросом. Начинается невинная переписка, в конце которой человеку скидывают архив с «договором» или «рекламными материалами».
Там сидит троян, который крадет сессионные токены. Далее он может просто подменить сессию и войти в аккаунт Ютуба как ранее авторизированный пользователь.
И всё. Но самое обидное в таких угонах, что у Ютуба нет дополнительной защиты от подозрительных действий. Удалить массово все видео, сменить название, шапку канала - на всё это не требуется никакого подтверждения.
Всего один клик.
История заключается в том, что практически любой Ютуб канал с двухфакторной авторизацией можно угнать, не зная даже пароля от него.
Смысл заключается в том, что на почту жертве приходит письмо с рекламным запросом. Начинается невинная переписка, в конце которой человеку скидывают архив с «договором» или «рекламными материалами».
Там сидит троян, который крадет сессионные токены. Далее он может просто подменить сессию и войти в аккаунт Ютуба как ранее авторизированный пользователь.
И всё. Но самое обидное в таких угонах, что у Ютуба нет дополнительной защиты от подозрительных действий. Удалить массово все видео, сменить название, шапку канала - на всё это не требуется никакого подтверждения.
Всего один клик.