YouTube频道Linus Tech Tips和另外两个Linus Media Group YouTube频道已经恢复,此前一次重大黑客攻击允许坏人做直播加密骗局视频,更改频道名称,甚至删除视频等事情。在一个新的视频中,店主Linus Sebastian解释说,这次入侵绕过了密码和双因素保护等措施,因为坏人瞄准了让你登录网站的会话令牌。
根据Sebastian的说法,Linus Media Group团队中的某个人下载了“看似来自潜在合作伙伴的赞助报价”,并发布了包含该报价条款的PDF文件。但塞巴斯蒂安表示,这实际上包含了恶意软件,可以访问“双方安装的浏览器中的所有用户数据”——包括会话令牌——这实际上给了坏人一个浏览器的“精确副本”,他们可以导出并使用它来进行破坏,而无需输入安全凭证。
Linus Tech Tips, Techlinked和Techquickie都回来了,但Sebastian对YouTube有一些建议,以防止未来类似性质的违规行为。例如,他希望看到某些频道属性有更强的安全选项(根据Sebastian的说法,您可以在不输入密码或使用双因素身份验证的情况下更改频道名称),以及在有人试图大量删除视频时提供某种确认或验证请求。
YouTube发言人埃琳娜·埃尔南德斯(Elena Hernandez)在给the Verge的一份声明中说:“在收到Linus Tech Tips团队的提醒后,我们的团队调查了这个问题,并与他们一起保护和恢复了他们的账户。”我们已经询问过该公司是否会做出任何改变,以帮助打击此类违规行为。
这类YouTube频道的收购最近变得越来越普遍,像塞巴斯蒂安的建议这样的改变有望防止它们在未来发生。我建议观看塞巴斯蒂安的完整视频解释,其中包括更多细节。但请注意:视频中有一些监控录像,显示塞巴斯蒂安在自己的房子里赤身裸体(虽然模糊不清),他正在努力弄清楚发生了什么事。
美国东部时间3月24日下午2:03更新:新增YouTube声明。
