Хочу поделиться историей, которая произошла в ночь с 23 на 24 сентября 2024. Один умелец, назовем его так, загрузил на чужой канал несколько видео в обход пароля и двухфакторки. Как он это сделал?
Хронология событий
В 17:23 в чате владельца одного YT канала появилась запись, ссылки в Дзене замазываю, ибо это реклама, которая не нужна ни мне, ни "хакеру", далее будет Арбуз, так он сам представился:
Поясняю. На YT канал было залито видео, которое владелец не загружал. Позже на канал было залито еще несколько видео, в качестве спам-атаки.
С этого момента начали мозговой штур с автором канала. Мы отключили все сессии входа в настройках Google, но видео все еще заливаются. Убрали расширения имеющие доступ к YT, не помогло. Начали удалять приложения имеющие доступ к аккаунту, там же в настройках Google.
Строили догадки, думали на перехват трафика, TLS, общественная точка доступа или вскрыв роутера соседом с ручками пакостными.
В итоге в чате нашли виновника шалости, он и не прятался. Завязался диалог и слово за слово было определено уязвимое место:
И в процессе наш Арбуз прислал ссылку на видео с демонстрацией работы экспойла. Ссылки скрыл, видео можно посмотреть в комментариях к записи в телеграм
Естественно, стало интересно, как далеко может это зайти, а что самое интересное, даже смена пароля не спасает от угона аккаунта пока DA привязан к аккаунту