IT業界社群及資訊平台

【網紅要小心】黑客入侵YouTuber帳戶 疑繞過系統雙重驗證

愈來愈多人投身 YouTuber 行列,但有否想過,YouTuber 也可能成為黑客的網絡攻擊對象?近日本港便有 YouTuber 懷疑被黑客入侵帳戶,黑容除了利用其頻道進行直播,更將受害人數以百計嘔心瀝血製作的影片,一一變成不公開。受害人推斷,事件可能跟黑客盜取其 Session ID(工作階段識別碼)有關,但亦有網絡安全專家不明白,系統雙重驗證(Two-Factor Authentication, 2FA)為何未能發揮帳戶保護功效。

懷疑受到黑客攻擊的 YouTuber「希比」,在 YouTube 平台經營個人頻道「HEBEFACE」,經常製作及上傳影片,介紹港產片經典場景,頻道獲超過 6.3 萬人訂閱。希比接受本網訪問時表示,大約一星期之前,他收到粉絲通知,懷疑 HEBEFACE 頻道被入侵,他查看後發現,有人正利用 HEBEFACE 頻道進行以太坊相關的直播,「我於是馬上更改登入密碼,但之後對方仍然可以控制到我的帳戶,我更眼白白看著他將我的影片變成不公開。」希比表示,當時自己依然可以控制帳戶,包括將影片設定回公開,可見對方只入侵而沒有奪取其帳戶,情況相當特殊。

【網紅要小心】黑客入侵YouTuber帳戶 疑繞過系統雙重驗證
黑客入侵 HEBEFACE 頻道後,更改了頻道名稱及進行以太坊相關直播,惟當時希比依然可以控制帳戶。(網絡圖片)

 

希比曾向身邊熟悉 IT 的朋友查詢,其朋友估計,事件或涉及 Session(類似存在於伺服器的 cookies)攻擊,黑客首先入侵希比的電腦,盜取了希比在 YouTube 系統的 Session ID,從而欺騙了 YouTube 系統是希比本人登錄帳戶,並且繞過了帳戶雙重驗證,導致黑客登入帳戶的時候,希比本人沒有收到任何系統通知。

台專頁警告 YouTuber 成攻擊目標

作為網絡用戶之一,YouTuber 面對黑客攻擊亦無法置身事外。去年 11 月,關注網絡安全的台灣 Facebook 專頁「我們與駭的距離」曾提醒,YouTuber 已成為釣魚攻擊對象,黑客會透過釣魚電郵,表面上邀請 YouTuber 洽談商業合作,實際上誘騙對方下載惡意軟件,從而盜取其 YouTube 帳戶。惟希比自言不會胡亂下載程式或點擊可疑超連結,相信是因為某些瀏覽器插件或網上音訊檔案轉換工具未及更新,成為漏洞所在,令他的電腦受到感染,目前只好重灌電腦。他亦曾向 Google 通報事件,Google 著他提供更多資料以便跟進,惟至今暫時未收到對方進一步回覆。

希比相信被盜取的 Session ID 時效已過,「一切暫時回復正常。」他續指,黑客由始至終都沒有完全奪取他的帳戶、更改密碼或刪除影片,相信是因為更改密碼的話需要雙重驗證,此外黑客所編寫的入侵程式,未能有效處理刪除影片時,系統所彈出的「確認刪除」對話方塊。

【網紅要小心】黑客入侵YouTuber帳戶 疑繞過系統雙重驗證
YouTuber 希比經營個人頻道「HEBEFACE」,經常製作及上傳影片,介紹港產片經典場景,頻道獲超過 6.3 萬人訂閱。(網絡截圖)

瀏覽器插件或是漏洞所在

香港資訊科技商會副會長(私隱及資訊保安)范健文接受查詢時表示,當大家登錄網絡平台(例如社交媒體),便會產生 Session ID,以便平台比對用戶身份。若果電腦不幸被黑客入侵,又或者用戶安裝了一些植入了惡意軟件的瀏覽器插件,用戶 Session ID 便有機會被黑客盜取,從而假冒用戶登錄系統。

但范健文亦坦言,就算黑客取得 Session ID,在利用另一電腦入侵受害人系統時,由於 IP 地址不同,系統亦應該要求用戶完成 2FA 以檢查身份,因此他也無法理解,為何黑客入侵希比帳戶時,系統並沒有要求希比完成 2FA 程序,「事主或需要進一步檢查電腦,以查證事件源由。」

問到如何避免同類事件發生,范健文指出,用戶必須要為電腦安裝防毒軟件,也不要隨意安裝瀏覽器插件。他又強調 2FA 非萬無一失,皆因經常用作 2FA 的一次性密碼(OTP),往往是經由手機短訊(SMS)發送,「而 SMS 本身並非加密」,要求用戶利用手機程式按鍵確認登入,是相對安全的 2FA 方法。

Privacy Preference Center