Digital Foundry's YouTube-kanaal is nog altijd offline na hack van account

Het YouTube-kanaal van Digital Foundry is op het moment van schrijven nog altijd offline. Dat heeft te maken met een eerdere hack. Digital Foundry zegt dat het kanaal weer is herbeveiligd, maar dat het nog altijd wacht op YouTube om het weer terug te brengen.

Momenteel levert het zoeken naar het YouTube-kanaal van Digital Foundry nog altijd de standaardmelding op dat de pagina niet bestaat. Digital Foundry bevestigt op Twitter dat hun account op dinsdag werd gehackt, waarbij Googles tweefactorauthenticatie werd omzeild. Enkele uren daarna heeft Google het kanaal verwijderd; volgens Digital Foundry gebeurde dat nadat de beveiliging weer was hersteld. Het is nog onduidelijk wanneer het kanaal weer online zal zijn.

De organisatie met recensisten die zich richten op de technische kant van games, biedt zijn excuses aan voor de onderbreking van het kanaal en zegt dat het voor hen zelf net zo frustrerend is als voor de geïnteresseerde kijkers. Digital Foundry, dat onderdeel is van de website Eurogamer, verwijst in de tussentijd naar deze website. Daar is bijvoorbeeld de recentste video gewoon te zien via de interne videospeler. Die video gaat over de prestaties van Forza 5 Horizon op de pc.

Het schorsen van het kanaal heeft waarschijnlijk te maken met het overtreden van de richtlijnen, waarna een geautomatiseerde verwijdering volgde. Na het hacken van het account waren op dinsdag niet de gebruikelijke gamevideo's over framerates, resoluties en de visuele kwaliteiten meer te zien, maar verscheen een video van Elon Musk over SpaceX. Daarna veranderde de naam van de pagina in 'Space X', verscheen een ander logo en werden er video's uitgezonden voor het uploaden van scams ten aanzien van cryptocurrency.

Door Joris Jansen

Redacteur

10-11-2021 • 11:07

37

Submitter: et36s

Reacties (37)

Sorteer op:

Weergave:

Ik heb toevallig gisteren een Ubikey ingesteld, en mijn conclusie is dat van de meer dan 90 sites die ik gebruik: 5 sites ondersteuning hadden voor een hardware matige sleutel, 20 sites überhaupt maar 2FA ondersteuning hadden en meer dan 70 dat totaal niet deden.

Het grote probleem van websites die wel een hardware sleutel of 2FA app ondersteunen is dat je dan als backup verplicht bent sms te gebruiken. Een protocol dat geen encryptie kent en relatief makkelijk te onderscheppen is.... en dat is dus ook het geval met Google/Youtube.

Ik vermoed dat op deze manier hier ook de 2FA is omzeilt.
Misschien is het tijd om iig op Europees niveau bedrijven te verplichten om 2FA te gebruiken met een veiligere backup optie dan sms. Ik ken onderhand meerdere kanalen die op deze manier hun Youtube kanaal tijdelijk kwijt zijn geraakt.

Edit:
Zie nu net dat je bij Google sms-backup wel kan verwijderen als je google prompts als alternatief opgeeft. Dat is iig al iets veiliger.

[Reactie gewijzigd door Donster op 23 juli 2024 07:09]

en als je je yubikey verliest of hij gaat stuk?
en als je je yubikey verliest of hij gaat stuk?
Hij is nu weer online, Digital Foundry, kan alles gewoon weer zien.
Ik hoop op iets met bellen (met het bedrijf waar jij dit ingesteld hebt) en documenten sturen om te bewijzen dat jij bent wie je zegt.

https://support.yubico.co...47620-Losing-Your-YubiKey

[Reactie gewijzigd door MetalfanBlackness op 23 juli 2024 07:09]

De code van je Yubikey kan je printen en in een kluis leggen en het is het overwegen waard een 2e key te programmeren met dezelfde code als backup
Bij een app op je telefoon loop je risico op verlies van (een deel van) jouw codes als je de telefoon kwijt raakt, aangezien je steeds up-to-date backups moet maken.
Je kan het (soms) ook automatisch doen in de cloud, maar dat is weer een compromie m.b.t veiligheid.

Als je gaat kijken naar een app als Authy is het nog erger,
aangezien je de seed niet eens kan bekijken en je volledig afhankelijk bent van de service.

Ik heb zelfs gehad dat ik met Authy (zonder mijn lokale wachtwoord/sleutel) op een nieuwe telefoon,
gewoon voor korte tijd de gegenereerde codes kon zien en het werkte...

Bij de yubikeys is het nadeel dat je er inderdaad 2 moet halen, zodat je een backup-sleutel hebt.
Het voordeel is dat alles op de sleutels staat en dat, naast veiligheid, het ook niet nodig is om steeds handmatig nog backups te maken. (alleen het instellen van account is dubbel)

Je kunt daarnaast natuurlijk ook een herstelcode in een kluis bewaren o.i.d.

Je kan de sleutel zelf trouwens gewoon beschermen met een pincode of vingerafdruk
(afhankelijk van welke versie je hebt)

Microsoft begint tegenwoordig overigens al steeds meer wachtwoordloos inloggen te promoten,
en zegt dat dit veiliger zou zijn... Zelf ben ik meer van wachtwoord+sleutel voor extra veiligheid.

[Reactie gewijzigd door Donster op 23 juli 2024 07:09]

Daarom heb je daar altijd een backup key voor. Ik heb 1 hardware key, bluetooth key, OTP codes zonder sms en evt. backup codes.
Het is een sleutel dus beschouw het gewoon zo. Dus altijd een reserve sleutel hebben op een veilige plaats. Die reserve sleutel kan een andere Yubikey zijn maar ook bijvoorbeeld een backup code op papier.
Het sim-swappen om 2fa te omzeilen is een tijdje vrij populair geweest tot het punt waar in bepaalde communities gezegd werd dat 2fa de moeite eigenlijk niet meer waard was. Ik weet niet hoe dat nu zit maar ik vind het toch appart dat je percé via sms backup moet verifieren en niet bijvoorbeeld via een aantal backup codes. (wat vaak wel kan, maar naast sms)

Ik heb vanuit mijn bedrijfje ook wel eens 2fa codes voor mensen moeten resetten die hun app of telefoon dan "per ongeluk kwijtraken". En dan is het toch altijd wel weer een heel gekloot om voldoende te verifiëren dat het echt om die persoon gaat.
Ik was laatst aan het kijken naar een Youtube video van een hacker en die liet zien dat het inderdaad kinderlijk eenvoudig was om sms codes te onderscheppen.

De link heb ik helaas niet paraat nu , maar het was erg interessant.
Ik dacht dat het veel lastiger zou zijn, totdat ik die video zag.
En YouTube kennende kan dat ook nog heel lang duren.
Dat ligt er compleet aan hoeveel publieke aandacht dit krijgt. Ik heb dit soort situaties gezien bij kleinere YouTubers (50k subscribers denk?) en die zitten er maanden in voor ze hun account terug hebben maar als je populair bent zoals DF kan het nog wel snel gaan.
Dat mag dus niks uitmaken, de data is van jou en heeft waarde en anderen zouden daar niet zomaar mee mogen rommelen zonder dat je er zelf meer bij kunt.


India maar ook brazilië en ook andere landen hebben de wetgeving aangepast dat dit soort bedrijven sneller reageren.

https://techcrunch.com/20...-and-digital-news-outlets
These firms will also be required to appoint compliance, nodal contact and resident grievance officers whose names and contact details will be shared with New Delhi to effectively address on-ground concerns. Firms will also have to set up a local office in India.
En dan gaat het dus niet om een postbus adresje, maar er moet ook werk worden verricht,
en als ze het te bont maken kan de staat ingrijpen op straffe van een boete of zelfs uit de lucht.
Ravi Shankar Prasad, India’s IT, Law and Justice minister, said in a press conference that social media companies will be required to acknowledge takedown requests of unlawful, misinformation and violent content within 24 hours and deliver a complete redressal within 15 days. In sensitive cases such as those surrounding explicit sexual content, firms will be required to take down the content within 24 hours.
Aan de ene kant wordt het weggezet als “censuur”
maar aan de andere kant weet je ook dat dit soort bedrijven er een aparte traditie op nahouden met betrekking tot lokale wetgeving en dat winsten voorgaan.
Dat mag dus niks uitmaken, de data is van jou en heeft waarde en anderen zouden daar niet zomaar mee mogen rommelen zonder dat je er zelf meer bij kunt.
Zo simpel ligt het niet. De eigenaar van het YouTube-kanaal heeft immers de voorwaarden van YouTube geschonden, doordat het account is gebruikt voor frauduleuze praktijken. Volgens de voorwaarden van YouTube, die zijn geaccepteerd door de accounthouder, is dat een reden om het account te blokkeren en daarmee alle content van het account onbereikbaar te maken.

Wat het bij een gehackt account complex maakt is dat het niet de accounthouder is die de voorwaarden heeft geschonden, maar de hacker.

Overigens zou ik het raar vinden als alle gehackte accounts met dezelfde urgentie behandeld zouden worden. Waarom zou mijn kanaal met 2 abonnees dezelfde prioriteit moeten krijgen als een kanaal met 2 miljoen abonnees? Dat zou toch vreemd zijn? Dat wil natuurlijk niet zeggen dat het bij mijn account weken of zelfs maanden zou moeten duren om het account te herstellen - er moet wel enige urgentie achter zitten.
Klopt; kijk maar hoeveel moeite Hardware Unboxed begin dit jaar moest doen om weer toegang te krijgen tot hun account.

https://www.youtube.com/watch?v=Nh_260Z1jzw
Het is in ieder geval iets waar een werknemer van YT op gezet zal moeten worden vermoed ik, dus tijd zal het zeker kosten, dat ze het terug krijgen daar ga ik wel vanuit, maar hoe lang dat gaat duren? Geen idee, ik ben zelf ooit eens een YT kanaal verloren door het te verwarren met een ander kanaal en het per ongeluk verwijderd te hebben, het was voor mij onmogelijk om dit zelfstandig terug te draaien, dus de video's die ik daar had geupload en niet meer lokaal had staan was ik allemaal kwijt. Maar ik denk dat YT voor zo'n groot kanaal als DF wel redelijk snel in actie zal komen, ook al ben ik het eens met @Iblies die zegt dat dat niets mag uitmaken, denk dat het helaas toch echt zo werkt, grotere kanalen zijn nu eenmaal belangrijker voor YT dan de kleinere, dus daarbij zal de prioriteit waarschijnlijk hoger zijn.
Ik blijf vooral hangen bij het feit dat ze 2FA hebben omzeild. Net nu google dat verplicht heeft gesteld voor alle gebruikers van de google diensten.

DF krijgt zijn kanaal wel terug dat geloof ik wel.. maar wat gaat er mis dat de beveiliging te omzeilen is.
Die vraagtekens krijg ik ook bij Facebook, als er voor de zoveelste keer een account gehackt is. Ook al eens bij mij gebeurd, terwijl ik alles wat met beveiliging te maken heeft aan heb staan. Nu dus ook bij Google, waarbij niet alleen 2FA aan staat, maar dan ook waarschijnlijk de controle op "verdachte activiteit", welke dus ook blijkbaar niet werkt. Heel vreemd.
De checks van Google vinden enkel plaats op het moment dat je inlogt. Op moment dat je toegang hebt tot een geldige set aan cookies voor een sessie => "All bets are off". Zelfde als fysieke toegang tot een server, dat is game over.

Wanneer je een geldige set cookies hebt van Google, en je laadt die in binnen een andere applicatie / browser, doet Google geen nieuwe controles. Dit weet ik uit Python scripts uit het verleden. In het begin kon je nog oude browser user-agents gebruiken of text-only browsers en dan waren de controles op de login minder streng. Later hebben ze dit verbeterd. Echter als je al cookies voor een geldige sessie hebt, hoef je niet in te loggen en laat Google je direct binnen.

Speculatie: Mogelijk hebben ze het dus voor elkaar gekregen om een actieve sessie van iemand te stelen.
Omzeilen kun je op verschillende manieren opvatten. Heeft men de 2FA van Google gekraakt of is er op een andere manier toegang verkregen tot het YouTube account. In dit geval lijkt het op het laatste.
De 2FA kun je vrij makkelijk omzeilen, want daarvoor geeft Google je zelf verschillende opties.

Waaronder het sturen van een SMS en dus is het waarschijnlijk de usual suspect: sim hijacking.
Je moet de sim niet hacken. De hacker moet enkel een pishing pagina opzetten waarin het slachtoffer de 2FA code moet inzetten. Zo worden bank apps ook ‘gehackt’.
Precies. Is ook een telefoon gehacked? Of sms onderschept, of is het een regelrechte leugen?

Vragen, vragen.
"De organisatie met recensisten die zich richten op de technische kant van games, voor de onderbreking van het kanaal en zegt dat het voor hen zelf net zo frustrerend is als voor de geïnteresseerde kijkers."

Ik denk dat het voor DF véél frusterender is dan voor de kijkers. Ik kijk bijna alles van hun, maar in plaats van nu zelf gefrustreerd te zijn dat ik hun content niet kan zien, denk aan hoe vervelend het is voor hun. Ze werken er immers hard voor en nu staan ze toch voor een groot deel machteloos.

Ik heb sowieso veel moeite met de cultuur waarin YouTubers elke keer excuses maken als ze even niet uploaden. Lekker belangrijk, het komt wanneer het komt toch. Soms hebben andere
zaken nou eenmaal voorrang, maar kennelijk zijn er veel kijkers die het als een plicht ervaren van de YouTuber om consequent content uit te brengen. Best triest als je er over nadenkt.
Net zo triest als dat achterlijke gevis bij elke video naar een like/thumbs up en die stomme sponsoring tussendoor. Waar betaal je dan youtube premium voor? Dan krijg je alsnog reclame door je strot. Nee laat ze eerst maar eens daarmee ophouden dan hebben de eindgebruikers ook weer een stuk minder recht van klagen op gebrek aan content.
Het gekke is dus... als ze dat niet doen dan lopen ze toch ENORM veel Subs/Likes mis. Voor hel algoritme is een Like/Dislike is voor youtube's algoritme "Activiteit op de video" waardoor het meer gepushed word, Als jij meer subs er bij krigjt wi ldat zeggen dat jou content dus als leuk wordt ervaren en word je kanaal als geheel meer gepushed.

Dat is belangrijk want als dat niet gebeurd dan loop je adsense mis en dus geld. het maken van een video, afhankelijk van de content en kwaliteit, kan enorm lang duren van het concept, tot het schieten tot het editten van de video, een edit van 1 video kan al 3 tot 4 uur duren al dan niet langer en dat is nog niet eens renderen van de video, een eerste QC, misschien nog een 2e. Dit is tijd waarin jij eigenlijk niet wordt betaald door de video.

Ik heb van Youtubers gehoord, in videos, dat ze het eigenlijk niet willen doen, en wanneer ze het niet doen ze ineens aanzienlijk minder subs en likes krijgen, en dat is dus danig minder dat het niet door de video komt. Het is iets dat werkt. Daar heb ik als persoon overheen leren kijken met de kennis dat dit momenteel nodig is.

Je betaald Youtube premium omdat je geen reclame wilt. Daar betaal je dat voor. Je hoeft nu geen Nivea reclames meer te zien. Als jij denkt dat een premium account helpt om de creators te betalen ben je naief, het kan zijn dat ze minder krijgen van een premium account view dan van een adsense. en... kijkt youtube wel naar hoeveel premium accounts er naar een kanaal kijken? lijkt mij bak veel werk en dat zie ik YT niet doen als ik heel eerlijk ben.

Als jij je favoriete content creator wil steunen dan sub je op hun patreon en/of "join" je hun kanaal
Als jij dan ook gelijk de hoogste tierpakt en mensen aanspoort dat ook te doen hoeven ze ook gaan Raid shadowlegends meer te sponsoren. Wantja... je klaagt wel maar met alleen een premium account vervang jij echt die kosten niet. En volgens mij weten wij allemaal dat huizen duur zijn, en dat mensen niet gratis kunnen leven. Dus dat gejammer om adspots en de vraag voor subs/likes vind ik persoonlijk vrij mager. Dan snap je geheel niet wat een "YouTuber" is.

Kijk deze video om wat meer inzicht te krijgen in wat in iedergeval LTT moet doen voor hun kosten plaatje
Nouja ik bedoel maar te zeggen het is of het een of het ander. Of je geniet van veel gebruikers/kijkers met vele wensen en verzoeken om meer content te produceren of je gaat een ander beroep uitoefenen waar er minder van je verlangt wordt en het minder stress oplevert. Ik vind dat een kijker alle recht heeft om commentaar op je kanaal te leveren. Als je daar als youtuber niet mee overweg kan dan moet je stoppen. Net zo goed dat ik dus het recht heb om me te ergeren aan die like verzoeken wat bij mij geheel averechts werkt overigens, maar dat terzijde.
"kijkt youtube wel naar hoeveel premium accounts er naar een kanaal kijken? lijkt mij bak veel werk en dat zie ik YT niet doen als ik heel eerlijk ben."

Dat is 1 extra waarde in je statistieken meenemen ' $UserStatus == 'Premium' ($YoutuberIncomePremium = '1') (en =0 als het geen premium is) #GeenGoedeCode.

En als een viewer zonder premium 0,01 cent oplevert en één met premium 0,005 cent is de verdere rekensom zo gemaakt. Daar zit niet iemand achter de schermen met een rekenmachine voor elk account dat uit te zoeken, dat is gewoon een paar regeltjes code toevoegen.
Dat heeft vrij weinig met de kijkers te maken, het YouTube algorithm vereist activiteit om opgenomen te worden in discovery routines. Hoe minder vaak je upload en hoe minder je videos aan de gewenste vereisten voor videos voldoen (10~15 minuten lengte, veel comments, veel interactie op like/dislike buttons, etc), hoe onwaarschijnlijker het wordt dat je video recommended wordt aan nieuwe gebruikers. Even een weekje niet uploaden heeft direct gevolgen voor je views en dus je inkomen, nogal wiedes dus dat dat een prio is voor een YouTuber.
Ik hoop echt dat Google dit kanaal weer hersteld. Digital Foundry maakt de beste technische analyses en het zou een groot gemis zijn als we dit kanaal verliezen.
Ik had gisteren inderdaad ineens die live video in my subscription feed. Ik dacht al dat ik per abuis op Space X geabonneerd was (wat al uitzonderlijk zou zijn, want Elon Musk is nu niet bepaald mijn favoriete celeb), dus toen ben ik maar meteen naar het channel gegaan en ben nu unsubscribed.

Maar weer even aan denken om weer mijn subscription in te stellen, als het terug is.
Yikes. En dan heeft Digital Foundry tenminste nog voet bij YouTube, dit soort onzin gebeurd veel vaker en meestal met kleinere creators die hun kanaal gewoon kwijt zijn omdat YouTube ze niet helpt.
Die video gaat over de prestaties van Forza 5 Horizon op de pc.
Wat is "Forza 5 Horizon", Tweakers? :?
Wel balen. Hoopte op een video met de performance van de gta collectie op de switch.
De kans is groot dat dit spearphishing is geweest waarbij een installer of driver update aangeboden is die vervolgens malware installeert. Afgelopen jaar meerdere streamers gehad en eentje (staycation) deed uit de doeken dat hij een mail van EA had gehad, welke later dus een stuk malware bleek, maar wat leek op een uitnodiging voor een private beta.

Deze bedrijven en streamers krijgen vaak demo's en (beta) software via niet standaard distributies en dan loopt men dit risico. Het is ook hun vak, dus letterlijk risico vh vak.

Op dit item kan niet meer gereageerd worden.