【翻墙问答】黄明志YouTube户口被攻入的启示

2022.04.08
Share on WhatsApp
Share on WhatsApp
【翻墙问答】黄明志YouTube户口被攻入的启示 事发当日黄明志刊帖文指,自己现在人在英国伦敦,焦头烂额忙著工作。
黄明志脸书图片

问:马来西亚歌手黄明志破碎了不少小粉红的《玻璃心》,他的YouTube户口因此一度被疑似俄罗斯黑客占据,改为疑似俄文粗口的名字,以及将所有片段删除,在谷歌人员协助下,黄明志在十多小时后才能恢复帐户。其实现时YouTube已经强制创作人使用二步认证,为何仍然阻止不了黑客盗用账号?

李建军:当然,在这件事未有详细技术资料公布前,不方便对原因作出推测。但的确,由于YouTube过往经常发生热门频道被黑客占据的事件,因此YouTube已强令创作人使用二步认证。现时可以用三种方式进行二步认证,分别是短信、Google Authenticator应用程式,以及FIDO技术的实体金钥。

Google Authenticator以及FIDO实体金钥都是十分之安全,暂时未有任何被黑客攻入的纪录,但短信二步认证的方式就存在安全漏洞,黑客可以透过SIM Swaps的技巧,拦截短信,获取二步认证所需的单次密码再攻入你的户口,因此,身份敏感的人,不应该再用短信进行二步认证,使用手机的Google Authenticator应用程式,或类似的技术,已经是最低的安全要求。甚至应考虑加入谷歌公司保护记者和敏感创作人的Advanced Protection Program以策安全,因为Advanced Protection Program强制使用FIDO的金钥,而且谷歌公司亦有专门人员监察网络保安情况。理论上,作为敏感创作人,黄明志的户口被攻入的技术难度,应该是十分之高。

另一方面,从这次事件的作案手法来看,当中不一定不涉及中共派来的人。因为,这次黄明志户口只留下俄文粗口,以及删除所有影片的手法,并不像俄罗斯黑客以往针对YouTube频道的攻击手法。像黄明志这类价值连城的户口,如果被俄国人攻入,一般会收到勒索信息,或上传大量不明来历的垃圾片,用作播毒,以及将AdSense收益设法转到他们拥有的一些古怪户口名下,以扩大他们的收益。但这次黄明志被骑劫后,黑客将片段删光,以及留下俄文粗口,情形更像一场意图嫁祸的烂戏,终极目的其实是要《玻璃心》、《中国痛》这类批评中国的歌曲在YouTube上消失。

过往YouTube有黄标打压言论自由的问题,由此可见,在YouTube或Adsense相关部门,并不会像Advanced Protection Program一样,以保护言论自由为宗旨,尽管他们都属于谷歌旗下机构。因此,这件事不应在黄明志的频道恢复运作后就不再追查,相反,这件事既然在美国公司发生,联邦调查局或其他保护美国安全的部门是有权介入并加以调查。至少要查清YouTube乃至谷歌是否保安系统有漏洞,还是员工有人出了问题,还是其他原因?这些都需要执法部门去调查,才会知道真相。

问:对于涉及敏感题材的YouTuber,你对他们在保安上又有甚么建议,特别是仍然在中国和香港创作人,他们处境是否比在台湾以及马来西亚的黄明志危险得多?

李建军:首先,经常用作上传YouTube片段的电脑,保安必须要做得很好,不能乱开电邮,亦要及时更新浏览器,以及不能够安装一些古怪的Chrome插件。而二步认证方面,最好用FIDO技术的实体金钥,因为只有用FIDO技术的实体金钥,才能够将被攻入的可能减到最低。

另一方面,如果创作者收到谷歌邀请加入Advanced Protection Program,请务必参与,因为暂时而言,Advanced Protection Program提供的入侵侦测及提示功能是十分之有价值,当有国家政府意图攻入你户口时,他们会自动发电邮提醒你可能有入侵者,这点对加强当事人的警觉度是十分之重要的。至少可以及时在被攻入前,更换手机号码,或者停止用可能被感染的电脑上传影片等等。而未有加入Advanced Protection Program的创作者,除非他们选用一些企业级别的服务,否则他们难以知道有人试图攻入户口。另外,必须留意一些古怪的短信,或留意你的手机连接有否出现异常情况,如有异常情况,有可能反映你的帐户正有人上下其手。

新增评论

请将评论填写在如下表格中。 评论必须符合自由亚洲电台的 《使用条款》并经管理员通过后方能显示。因此,评论将不会在您提交后即时出现。自由亚洲电台对网友评论的内容不负任何责任。敬请各位尊重他人观点并严守事实。

完整网站