Wiem, dziś wybory. Ale jeśli masz już wrzuconą kartkę do urny i szukasz czegoś równie absurdalnego jak polska polityka - to mam coś dla Ciebie. Na mój kanał wleciał nowy film o tym, jak admin 4chana próbował zachować anonimowość… i spektakularnie się wyłożył.
Ktoś poskładał rozrzucone elementy układanki i ułożył tożsamość człowieka, który całe życie krył się za nickiem i avatarem. Wyszło, jak zawsze - bo OPSEC to nie zabawa, a internet nie zapomina.
Ten film to dobra przestroga i konkretna historia o tym, jak nie prowadzić swojej cyfrowej tożsamości, jeśli nie chcesz skończyć jako case study na YouTubie.

https://www.youtube.com/watch?v=4XqAVhZRSNg

#4chan #deanon #internetniezapomina

НА YOUTUBE ВИКРИТО БАГ, ЯКИЙ ДОЗВОЛЯВ ДЕАНОНІМІЗУВАТИ МІЛЬЯРДИ ОБЛІКОВИХ ЗАПИСІВ

https://brutecat.com/articles/leaking-youtube-emails

Днями я подумав, а які є способи деанонімізації на Ютюбі... Чи можуть адміністратори каналів розкривати конфіденційну інформацію про підписників? Якщо так, то яку? І чи підписники у свою чергу можуть розкрити якусь чутливу інформацію про автора каналу або інших користувачів?

І ось, на очі мені потрапляє чергова розсилка кібербезпеки від популярного польського порталу Sekurak.pl (https://sekurak.pl/prostym-mykiem-mozna-bylo-poznac-e-maila-dowolnego-uzytkownika-youtube/), в ній розповідається про неймовірний баг-витік на Youtube.

Кожен користувач Ютюбу міг забанити іншого користувача, наприклад у публічному чаті стріму, перейти на сторінку заблокованих https://myaccount.google.com/blocklist та знайти у вихідному коді поточної сторінки ідентифікатор заблокованого - так званий GAIA ID (Google ID). А знаючи ID - пряма дорога до розкриття електронної пошти і повної деанонімізації....

Власне, так і зробив дослідник безпеки із Сінгапуру (https://x.com/brutecat). Вивчаючи API Youtube, він 15/09/2024 помітив, що при блокуванні користувача надається ідентифікатор Gaia ID у деобфускованому (відкритому!) вигляді. Далі він через сервіс Google Pixel Recorder якось зміг перетворити ID на електронну пошту. Причому, йому вдалось обійти систему "сигналізації" Google, коли Pixel Recorder сповіщає користувача, що його "пробивають". Дослідник створив окремий експлойт, який автоматично перетворює Gaia ID на email (https://www.youtube.com/watch?v=nuZiiKVej84). Йому виплачено всього лиш 10 000$ доларів, а баг пофіксили 09/02/25 (значення jsdata тепер шифрується)...

Для дослідників OSINT - це просто фантастична діра. Адже, той хто про неї знав - міг масово деанонімізувати ботів/спамерів в Youtube, і не тільки. До прикладу, так могли "пачками вичисляти" опозиціонерів, які активно коментують відео на Youtube, зливаючи їх електронні адреси відповідним спецслужбам...

Можна лише здогадуватися, скільки в загальному проіснував цей баг, хто про нього знав і хто постраждав, а також скільки існує ще інших незадокументованих лазівок в екосистемі Google...

Дотримуйтесь анонімності, вивчайте API (https://developers.google.com/people/api/rest) і буде вам щастя!

#google #youtube #deanon #deanonimization #bugs #cybersecurtiy #security #кібербезпека #itsecurity #itnews #itбезпека #infosec #infosec_news

Telegram співпрацює з ФСБ та Роскомнаглядом

Представник ДКІБ СБУ Олександр Мельниченко на міжнародному форумі Kyiv Stratcom 2024 висловив свою думку про Telegram:

«Друга проблема — це те, що власник і команда розробників є громадянами РФ, попри те, що вони набули ще низку інших громадянств. І третя проблема: ми бачимо чітку співпрацю адміністрації телеграму з “Роскомнаглядом” та ФСБ, оскільки коли потрібно ФСБ блокувати будь-які телеграм-канали на території РФ: в Дагестані, в Башкирії, просто канали російської опозиції, — Телеграм моментально виконує ці вказівки».

Він також зазначив, що спецслужби нашої держави вживають заходів для деанонімізації адміністраторів тих телеграм-каналів, чия деструктивна діяльність спрямована саме на українську аудиторію.

«Іноді вдається нам за допомогою різних методів заблокувати частину з них. І тут основна проблема в тому, що телеграм не дослуховується до прохань української держави так, як дослуховується до прохань російської держави. Як вчора говорив Михайло Федоров, комунікація із ними є, але вона по суті є безрезультатною, на відміну від того ж ТікТоку, який, в принципі, реагує».

#telegram #cybersecurity #infosec #infosecurity #deanon #security #intelligence

https://detector.media/infospace/article/224762/2024-03-28-oleksandr-melnychenko-sbu-my-bachymo-chitku-spivpratsyu-administratsii-telegramu-z-roskomnaglyadom-ta-fsb/

Деанонімізація власників криптогаманців

Як дослідити фінансовий слід власників криптогаманців? Аналіз Blockchain. Поради анонімності для власників крипти та багато іншого.

#deanon #cryptocurrency #cybersecurity #кібербезпека #itsecurity #blockchain #tech #technologies #technology #fintech #osint #crypto #research #explore #privacy #anonymous #cryptowallet #технології

https://kr-labs.com.ua/blog/deanonimizatsiya-vlasnykiv-kryptogamantsiv/