Se usate YouTube sia per guardare video che per caricare contenuti fate attenzione alle interazioni con alcuni commenti e canali. Ecco perché.

Al momento si presume che ci sia una violazione della sicurezza su YouTube che sta permettendo agli utenti di entrare nel tuo account se interagisci con i suoi commenti. Quanto è probabile? Beh, per essere onesti molto improbabile, ma ci sono altri modi e mezzi, quindi cosa potrebbe essere? Molto probabilmente è un abuso di Oauth Token. Quindi sapete quando visitate un sito web e dice di creare un account o effettuare il login tramite YouTube, Facebook, Twitter ecc. beh questi hanno bisogno di un Oauth Token che vi chiede di concedere certi permessi, cioè il controllo del canale, leggere i messaggi, visualizzare l’indirizzo email ecc. Ora alcuni di questi, come visualizzare l’indirizzo e-mail, possono essere utilizzati per cercare vecchie violazioni di dati per trovare le password corrispondenti e o tentare un attacco di forza bruta, e sul lato del controllo del canale bene questo potrebbe essere letteralmente qualsiasi cosa, commentando, cancellando i video o anche pubblicando aggiornamenti si vede dove sto andando con questo.

Chi è che sta postando questi commenti? I presunti nomi degli account sono elencati come Logan, Sounds o Vakzy. Ci sono molti altri account che sono stati compromessi da questo utente chiamato “Logan” per diffondere ulteriormente i commenti automatici sui video ed è da qui che proviene tutta la storia di questo.

Sono account bot che hanno commentato i video delle persone con commenti come “Wanna Be Friends” e “Here before x amount of subscribers. Continua a intrattenere i tuoi fan! Inoltre, facciamoci forza a vicenda”. Tutto questo è stato portato alla luce da uno YouTuber chiamato Evanz111 che ha fatto un video che va in profondità e che ora è stato ripreso da artisti del calibro di SomeOrdinaryGamers (Andate davvero a vedere questo video, questo ragazzo è fantastico e scava ancora più a fondo e dà più consigli di sicurezza per prendersi cura dei propri account sociali), Optimus e Upper Echelon Gamers

Dopo che Evanz111 ha caricato il suo video sull’incidente, il suo canale YouTube è stato presumibilmente violato e ha postato su Twitter dicendo che qualcuno ha bypassato la sua password a 18 cifre e anche il suo 2fa attraverso lo spoofing del suo numero di cellulare. Per me mi chiedo come ha fatto a sapere al 100% che si trattava di questo account “Logan”. Se era questo account Logan allora perché il video che lo esponeva non è stato cancellato. Onestamente c’è così tanto dietro questo che è qualcosa che verrà fuori con la verità piuttosto presto.

Come collega creatore di contenuti e utente di YouTube tutto quello che posso fare è esortarvi a non interagire con i commenti che sembrano bot, sia che si tratti di commenti che dicono “ciao” o “Ottimo contenuto”. Tu conosci il tuo pubblico e sai come le persone reali commentano. Non cliccate mai su nessun link che vi chieda di collaborare o qualcosa di simile se non avete comunicato prima. Alcune cose sembrano basilari e ovvie da dire, ma a volte alcuni commenti si prendono come persone che sono state gentili, ma purtroppo sono il totale contrario. Naturalmente sembra altamente improbabile che interagire con un commento possa causare qualcosa del genere ed è per questo che mi sto schierando con la teoria di SomeOrdinaryGamers che si tratta di una gestione errata con i token Oauth che ha permesso il pieno controllo dell’account YouTube di qualcuno e o tramite un attacco brutale di trovare l’email e le possibili password di qualcuno dai dati violati in precedenza.
Per risparmiarmi di scrivere un ulteriore saggio di 3.000 parole su questo vai a controllare tutti i video che ho guardato per conoscere tutto questo qui sotto. Condividete questo con i vostri amici e familiari in modo che possano essere consapevoli! Soprattutto se tuo figlio viene da te a parlare di questo video che hanno visto parlando del commento e del possibile hacking.

Per me questi account sono semplicemente spam. Basta ignorarli, cancellare i loro commenti se postano sui tuoi video e continuare a creare contenuti impressionanti.

Ogni preoccupazione cambia la tua password, imposta il tuo 2fa su un dispositivo/app basato e semplicemente rimani vigile su ciò con cui interagisci e anche su ciò in cui accedi e quale accesso di concessione vogliono.

Terrò questo post aggiornato man mano che le cose cominceranno ad essere chiarite e i rapporti ufficiali usciranno. Come sempre è meglio essere sicuri che dispiaciuti.