Har du sett YouTube-kommentaren ”Wanna Be Friends”? Risk för hackning, skräppost eller både och? ” TYPLive | We Capture The Moment
Om du använder YouTube för att titta på videor eller ladda upp innehåll bör du vara försiktig när du interagerar med vissa kommentarer och kanaler. Här är varför.
För tillfället påstås det finnas en säkerhetsbrist på YouTube som gör det möjligt för användare att hacka sig in på ditt konto om du interagerar med dess kommentarer. Hur sannolikt är det? För att vara ärlig mycket osannolikt, men det finns andra sätt och medel, så vad kan det vara? Det är troligen ett missbruk av Oauth Token. När du besöker en webbplats och det står ”skapa konto” eller ”logga in” via YouTube, Facebook, Twitter osv. behöver du en Oauth Token som ber dig att ge vissa rättigheter, t.ex. kanalstyrning, läsa meddelanden, visa e-postadresser osv. Nu kan vissa av dessa, t.ex. visa e-postadress, användas för att leta upp gamla dataintrång för att hitta matchande lösenord eller försöka göra en brute force-attack, och när det gäller kanalstyrning kan det bokstavligen handla om vad som helst, kommentera, radera videor eller till och med publicera uppdateringar, om du förstår vart jag vill komma.
Så vem är det som publicerar dessa kommentarer? De påstådda kontonamnen anges som Logan, Sounds eller Vakzy. Det finns många andra konton som har äventyrats av den här användaren som kallas ”Logan” för att ytterligare sprida automatiserade kommentarer på videor och det är här hela historien om detta har kommit ifrån.
Det är botkonton som har kommenterat folks videor med kommentarer som ”Wanna Be Friends” och ”Here before x amount of subscribers”. Fortsätt att underhålla dina fans! Låt oss också bygga upp varandra”. Allt detta uppmärksammades av en YouTuber vid namn Evanz111 som gjorde en video som gick på djupet och som nu har tagits upp av SomeOrdinaryGamers (se verkligen den här videon, den här killen är fantastisk och går ännu djupare in på det och ger fler säkerhetstips om hur du kan ta hand om dina sociala konton), Optimus and Upper Echelon Gamers
Efter att Evanz111 laddade upp sin video om händelsen ska hans YouTube-kanal ha blivit hackad och han skrev på Twitter att någon hade tagit sig förbi hans 18-siffriga lösenord och även hans 2fa genom att förfalska hans mobilnummer. För mig är frågan hur han till 100 procent visste att det var det här ”Logan”-kontot. Om det var Logan-kontot, varför raderades inte videon som avslöjade honom? Ärligt talat finns det så mycket bakom detta att det är något som kommer att komma fram med sanningen ganska snart.
Som YouTube-innehållsskapare och -användare kan jag bara uppmana dig att INTE interagera med kommentarer som verkar botliknande, oavsett om det är kommentarer som säger ”hej” eller ”bra innehåll”. Du känner din publik och du vet hur riktiga människor kommenterar. Klicka aldrig på länkar som ber dig samarbeta eller liknande om ni inte har kommunicerat i förväg. Vissa saker kan tyckas grundläggande och uppenbara att säga, men ibland tar man vissa kommentarer för att folk har varit trevliga, men tyvärr är de raka motsatsen. Det verkar naturligtvis högst osannolikt att interaktion med en kommentar skulle kunna orsaka något sådant här och det är därför jag håller med SomeOrdinaryGamers teori om att det är en miss i hanteringen av Oauth-token som har gjort det möjligt att få full kontroll över någons YouTube-konto, eller via en brute-attack för att hitta någons e-postadress och eventuella lösenord från tidigare dataintrång.
För att slippa skriva en extra uppsats på 3 000 ord om detta kan du kolla in alla videor som jag har tittat på för att få veta mer om det hela nedan. Dela detta med dina vänner och familj så att de kan vara medvetna! Särskilt om ditt barn kommer till dig och pratar om den här videon som de har sett och pratar om kommentaren och den möjliga hackningen.
För mig är dessa konton helt enkelt spam. Det är bara att ignorera dem, radera deras kommentarer om de skriver på dina videor och fortsätt bara att skapa grymt innehåll.
Om du oroar dig, byt lösenord, ställ in din 2fa till en enhet/app-baserad och håll dig bara vaksam på vad du interagerar med och till och med vad du loggar in på och vilken åtkomst de vill ha.
Jag kommer att hålla detta inlägg uppdaterat allteftersom saker och ting börjar klarläggas och officiella rapporter kommer ut om detta. Som alltid är det bättre att vara säker än att vara ledsen.