Nella giornata di ieri, il famoso canale YouTube Linus Tech Tips è caduto vittima di un attacco hacker, che oltre a rendere disponibili vecchi video privati ha trasmesso video in diretta legati alle criptovalute. Oltre al canale principale, sono stati colpiti anche canali secondari del Linus Media Group, come Teckquickie e TechLinked.
Gli account sono ovviamente stati sospesi per violazione dei termini del servizio, per poi essere ripristinati nella notte. Poco fa Linus ha rilasciato un video dove spiega cos'è successo e svela alcuni retroscena. La live che è stata trasmessa sul canale hackerato mostrava Elon Musk parlare di criptovalute e rimandava a un sito web di truffa, dove veniva promesso che per ogni somma in Bitcoin inviata se ne sarebbe ricevuto il doppio.
Linus avrebbe cercato di eliminare gli streaming e revocare le stream key, ma in qualche modo gli hacker sarebbero riusciti a riprendere il controllo e ripristinare le trasmissioni in diretta, oltre che cancellare tutti i video presenti sul canale.
Ovviamente i canali erano protetti da password forti e autenticazione a due fattori, ma quest'ultima (di cui vi abbiamo parlato in maniera più approfondita in questo articolo) è tutt'altro che impenetrabile. Come sottolineato da Linus stesso, la ricezione di codici tramite SMS e il fattore di autenticazione tramite notifica (come ad esempio quello adottato da Google) possono essere aggirati dai malintenzionati tramite social engineering o i così detti "fatigue attack", inoltre anche sistemi all'apparenza più sicuri come Google Authenticator possono essere compromessi.
Nonostante questi potenziali problemi, l'autenticazione a due fattori ha funzionato e gli hacker non hanno mai avuto accesso né ai sistemi di autenticazione né alle password. Ma come hanno fatto quindi a perpetrare il loro attacco? A quanto pare, i malintenzionati hanno sfruttato i session token, che tramite un cookie permettono di rimanere loggati in un sito anche dopo il riavvio del browser, senza che si debba reinserire la password ogni volta. Questo cookie è salvato in locale sul dispositivo ed è qui che entra in gioco l'errore umano: qualcuno nel team di Linus ha scaricato sul proprio computer quella che sembrava a tutti gli effetti una proposta di sponsorizzazione, con tanto di indirizzo mail legittimo e niente che destasse sospetti. Purtroppo, il PDF allegato alla mail era in realtà un malware che ha sottratto tutti i dati salvati nei browser Chrome ed Edge, compresi i cookie, le password salvate e le impostazioni personalizzate. Questo ha permesso agli hacker di ricreare una copia esatta del browser del PC infetto, compresi ovviamente i session token, che hanno permesso di accedere ai canali YouTube senza dover sottrarre password o altro.
Anche una volta identificato il problema, l'intervento è stato tutt'altro che rapido; secondo quanto racconta Linus la colpa sarebbe da attribuire al content manager usato per la gestione del canale YouTube, che se da un lato dovrebbe migliorare la sicurezza permettendo di assegnare solamente ruoli specifici ai vari account che accedono al canale, dall'altro ha reso molto difficile identificare il vettore dell'attacco.
Nel corso del video Linus ha voluto sottolineare anche alcune criticità della gestione di Google, messe in luce dall'accaduto. Lo YouTuber, oltre a lamentare una mancanza di comunicazione tempestiva da parte dell'azienda (nonostante l'account Google infetto sia stato identificato e bannato molto velocemente), ha anche ammesso che l'approccio della società beneficia unicamente i creator famosi e con grandi numeri, penalizzando quelli minori per cui il problema verrebbe risolto in molto più tempo, o addirittura non verrebbe risolto affatto.
È indubbio che sono necessarie misure di sicurezza più forti per alcune azioni chiave, come ad esempio rinominare il canale: come sottolineato da Linus stesso, è assurdo che si possa cambiare il nome di un canale YouTube, resettare la stream key, o cancellare centinaia di video alla volta senza dover nemmeno reinserire la password o il codice dell'autenticazione a due fattori. In questo modo sarebbe sicuramente più semplice limitare attacchi come quello subito da Linus, anche se l'opzione più sicura sarebbe probabilmente limitare fortemente la durata dei session token, invalidando la sessione (e chiedendo di effettuare nuovamente il login) più di frequente, un po' come accade quando si accende un vecchio smartphone e ci si ritrova con tutti i login da rifare.