Se você usa o YouTube para assistir vídeos ou carregar conteúdo, por favor tenha cuidado com as interações com alguns comentários e canais. Aqui está porque.

No momento alegadamente há uma falha de segurança no YouTube que está permitindo que os Usuários entrem na sua conta se você interagir com seus comentários. Qual é a probabilidade disso acontecer? Bem, para ser honesto, muito improvável, mas há outras formas e meios, então o que poderia ser? É muito provável que seja um abuso do Oauth Token. Então você sabe que quando você visita um site e ele diz criar uma conta ou login via YouTube, Facebook, Twitter etc bem, estes precisam de um Oauth Token que pede a você para conceder certas permissões, ou seja, controle de canal, ler mensagens, ver endereço de e-mail, etc. Agora algumas dessas permissões, como View Email Address, podem ser usadas para pesquisar violações de dados antigos para encontrar senhas correspondentes e ou tentar um ataque de força bruta, e do lado do controle de canal bem isso pode ser literalmente qualquer coisa, comentando, deletando vídeos ou até mesmo postando atualizações que você vê onde eu estou indo com isso.

Então quem é que está a postar estes comentários? Os alegados nomes de contas estão listados como Logan, Sounds ou Vakzy. Há muitas outras contas que foram comprometidas por este usuário chamado “Logan” para espalhar mais comentários automáticos sobre vídeos e é daí que vem toda a história disto.

És contas bot que têm comentado sobre vídeos populares com comentários como “Wanna Be Friends” e “Here before x quantidade de assinantes”. Continue a entreter os seus fãs! Além disso, vamos construir um ao outro”. Tudo isso foi trazido à luz por um YouTuber chamado Evanz111, que fez um vídeo que vai fundo nele e que agora foi captado por pessoas como SomeOrdinaryGamers (Realmente vá assistir esse vídeo, esse cara é incrível e se aprofunda ainda mais e dá mais dicas de segurança para cuidar de suas contas sociais), Optimus e Upper Echelon Gamers

Após Evanz111 ter carregado seu vídeo sobre o incidente, seu canal no YouTube supostamente foi invadido e ele postou no Twitter dizendo que alguém havia contornado sua senha de 18 dígitos e também seus 2fa através de spoofing do número do seu celular. Para mim, estou fazendo a pergunta de como ele sabia 100% que era essa conta “Logan”. Se era esta conta do Logan então porque é que o vídeo não o expôs a ser apagado. Honestamente, há muito por trás disso que é algo que sairá com a verdade muito em breve.

Como um colega criador de conteúdo e usuário do YouTube tudo o que posso fazer é incitá-lo a NÃO interagir com qualquer comentário que pareça bot como, quer seja comentários dizendo “oi” ou “Great Content”. Você conhece o seu público e sabe como as pessoas reais comentam. Nunca clique em nenhum link que lhe peça para colaborar ou algo similar se você não se comunicou antes. Algumas coisas parecem básicas e óbvias para dizer, mas às vezes alguns comentários que você toma como pessoas foram legais, mas infelizmente estes são o oposto total. É claro que parece altamente improvável que interagir com um comentário possa causar algo como isto e é por isso que estou do lado da teoria de SomeOrdinaryGamers de que é alguma falta de manipulação com Oauth Tokens que tem permitido o controle total sobre algumas pessoas no YouTube e ou através de ataque brutal de encontrar alguns e-mails e possíveis senhas de dados anteriores violados.
Para me salvar digitando um ensaio extra de 3.000 palavras sobre isso vá conferir todos os vídeos que eu assisti para saber tudo abaixo. Compartilhe isso com seus amigos e familiares para que eles possam estar cientes! Especialmente se o seu filho vem até você falando sobre este vídeo que eles viram falando sobre o comentário e o possível hacking.

Para mim estas contas são simplesmente spam. Simplesmente ignore-as, apague seus comentários se elas postarem em seus vídeos e continue criando um conteúdo incrível.

Ainda as preocupações mudam sua senha, configure seu 2fa para um dispositivo/app baseado e fique atento no que você interage e até mesmo no que você faz login e o acesso que eles estão querendo.

Eu manterei este post atualizado à medida que as coisas começarem a ser esclarecidas e os relatórios oficiais saírem sobre ele. Como sempre é melhor estar seguro do que arrependido.