'YouTube-medewerkers bekijken video's voor publicatie en lekken informatie'

YouTube voert diverse onderzoeken uit naar lekken door medewerkers die vroegtijdig toegang hadden tot video's en daaruit informatie naar buiten brachten. Dat gebeurde afgelopen week weer met Sony's State of Play-stream.

Insider-Gaming kreeg de hele lijst van games op State of Play van vier verschillende mensen aangeboden uren voor de stream openbaar online te zien was, schrijft de site. YouTube-medewerkers kunnen vooraf opgenomen, geplande video's in de back-end al bekijken. Het is volgens de site niet voor het eerst dat dit gebeurt.

Op dezelfde manier zou de eerste trailer van GTA VI al vroegtijdig naar buiten zijn gekomen, zo claimt de site. YouTube heeft daar een onderzoek naar gestart. Een derde geval van het gebruik van informatie is een actie van een youtuber die Amazon-giftcards in beeld liet zien voor de eerste die ze kon verzilveren. Alle codes bleken achteraf voor het livegaan van de video verzilverd te zijn.

YouTube en moederbedrijf Google hebben niet publiekelijk gereageerd op de informatie. Veel bedrijven, youtubers en media maken gebruik van de mogelijkheid om video's vooraf in te plannen en op een bepaalde tijd online te laten gaan.

Door Arnoud Wokke

Redacteur Tweakers

04-06-2024 • 14:02

35

Reacties (35)

Sorteer op:

Weergave:

Goed bezig daar bij YouTube, medewerkers die toegang tot privé/verborgen video's van elk willekeurig account!

In plaats van een "onderzoek uitvoeren" kunnen ze beter werken aan het dichttimmeren van hun systemen zodat dit soort privacyschending niet kan!
Maar de daders verdienen ook gewoon gepakt te worden. Dit lijkt wel contractbreuk, schaadt de reputatie van YouTube. Tuurlijk moeten ze het voorkomen in de toekomst, en wat gedaan is gedaan. Maar als de medewerkers zichzelf ook gewoon gedragen en dan is dat niet nodig.
Maar de daders verdienen ook gewoon gepakt te worden. Dit lijkt wel contractbreuk, schaadt de reputatie van YouTube. Tuurlijk moeten ze het voorkomen in de toekomst, en wat gedaan is gedaan. Maar als de medewerkers zichzelf ook gewoon gedragen en dan is dat niet nodig.
Niet alleen contractbreuk, maar het verzilveren van cadeaukaarten voor de video online gaat is ook puur diefstal.
Neem toch aan dat YT kan tracken wie dat zijn geweest. Want je laat gegarandeer sporen achter ie te herleiden zijn naar de daders.
Vermoedelijk voor moderatie doeleinden? Kwestie van content die ingaan tegen de policy van Google/youtube nooit online te laten komen.
Zelfs daar falen ze in. Je kan op YouTube gewoon video’s vinden van ‘kleding passen’ waarbij de dame in kwestie extreem doorschijnende kleren aan doet waardoor je prompt de poes en borsten vol in beeld hebt, alsof je een doorzichtig gordijn ophangt.

Kwam die überhaupt per toeval tegen, en stond al 10 dagen online. Hoe dan :+
Dat blijkt tegenwoordig te mogen, onder voorwaarden. Net als dat bij het geven van borstvoeding borsten in beeld mogen komen. Het hangt allemaal heel erg van de context en het doel van de video af.
Tsja zie zelf weinig reden waarom een ‘poes’ in beeld moet komen op YouTube, daar is weinig context voor. Behalve jezelf uithoeren op internet en OF een barrière is.

https://youtube.com/@erinkittenstryon?si=yoF4Wivu_4HRwryo

Titels van die filmpjes ook, “4K transparent …..”. Ach ze zoeken t ook maar uit. Zit er zelf niet zo zeer op te wachten.
Het lijkt mij voor Google zeer simpel te achterhalen welke medewerkers betreffende links bekeken hebben.

Dichttimmeren kan natuurlijk niet, er zullen altijd mensen toegang moeten hebben.
Er is altijd iemand die toegang heeft voor zijn werk en daar kan altijd een rotte appel tussenzitten. Daar helpt geen beveiliging tegen.
Zoals vrijwel altijd is 'de menselijke factor' het zwakste punt van de beveiliging.
Als je leak genoeg buzz/clout genereerd is dat toch lekker voor je dopamine-hit? Het lijkt er tegenwoordig op dat de dopamine constant getriggerd moet worden en deze acties lijken welhaast gewoon verkeerde beslissingen, genomen in het moment van ingebeelde afhankelijkheid.

[Reactie gewijzigd door SkyStreaker op 23 juli 2024 12:28]

Dat kán, maar hoeft niet per-se. Bij organisaties ten grootte van Google/Youtube/Alphabet werken altijd honderden, zo niet duizenden, mensen die het bedrijf bijna haten. Bron: Ik heb bij meerdere 100k+ FTE toko's gewerkt. Al was ik zelf geen hater, ik hoorde er (helaas) genoeg.

Het is best mogelijk dat er een aantal van die mensen bij de backend kunnen en om geen enkele andere reden dan "het verpesten voor de baas" doen, als ze de kans groot genoeg inschatten ermee weg te kunnen komen.

[Reactie gewijzigd door TV_NERD op 23 juli 2024 12:28]

Zeker ook een valide argument, helemaal mee eens. Herkenbaar ook helaas, alleen hou ik het alleen bij verwensingen in mijn hoofd en ga dat niet uitvoeren. Een verwerkingsmechanisme kan vaak beter het beste in je hoofd blijven.
Ja, in security is vaak de mens het zwakste punt, maar in dit geval vermoed ik dat teveel mensen bij dergelijke informatie kunnen en dat is een interne procedure fout/design. Daarnaast is het niet alleen een security issue, het is ook een consequentie issue, als dit gebeurd, verliest die persoon diens baan #1 en #2 moet de benadeelde partij gewoon direct een civiele procedure starten om gelede schade te verhalen op de betreffende persoon. En wellicht in dit geval ook op YouTube omdat ze duidelijk hun security niet op orde hebben.
Je kan als Google zijnde ook de rechten beperken van mensen die bij die video's kunnen. Een strict beleid hanteren dat de video's alleen bekeken mogen worden met een bepaald doel en logging bijhouden wie de video heeft bekeken.

Als je het zo inricht kun je alarmeren op het moment dat niet gepubliceerde video's te vaak worden bekeken en als er iets mis is, kun je daar consequenties aan verbinden. Ben je daar streng genoeg in, dan kun je dit waarschijnlijk grotendeels voorkomen.

Dit basisprincipe heet in security 'least privilege'.
Dat gebeurde eerder ook al met Nintendo videos zoals onlangs bekend werd (https://www.404media.co/g...nds-of-privacy-incidents/)

"An internal interview concluded the activity was “non-intentional,” the report says."
Totaal niet vergelijkbaar. En daarom is die "non-intentional" die je suggereert ook totaal niet aan de orde.
Onzin. 100% vergelijkbaar. Ook in dat geval was er een YouTube medewerker die beelden bekeek en informatie daaruit lekte voordat de video live ging.

En uit onderzoek door Google bleek dat het “non intentional” was. En dat moet je dan maar geloven
Op het gedeelte dat niet achter een pay-wall zit staat NERGENS iets over een youtube medewerker die beelden bekeek en dat misbruikte.

Wat er wel in dat artikel staat:
Google has accidentally collected childrens’ voice data, leaked the trips and home addresses of car pool users, and made YouTube recommendations based on users’ deleted watch history, among thousands of other employee-reported privacy incidents, according to a copy of an internal Google database which tracks six years worth of potential privacy and security issues obtained by 404 Media.
is totaal niet vergelijkbaar met dit artikel.
Dan wordt het voor grote bedrijven volgende keer een lokale video via OBS naar YouTube streamen. Alleen zo kan je blijkbaar dus zorgen dat niks leakt. Vind zoiets toch vrij kwalijk.
Ik snap eerlijk gezegd niet dat ze dat niet allang deden. Zowel de slachtoffers als de dader zijn grote multinationale corporaties, dus beiden zouden moeten weten van de realiteit die ik hier omschrijf.

Het klaarzetten van video's op een extern platform waar je zelf geen controle over hebt lijkt me, vanuit opsec oogpunt gezien, best een te vermijden fout. Ik weet niet hoe moeilijk/mogelijk het is een livestream te starten op YouTube op een geplande tijd, maar wat kost het nou om 1 betrouwbare medewerker in de juiste tijdzone die gewoon handmatig te laten activeren als het moet?

Ik vind het een klein stukje straf voor gemakzucht. Dat praat het uiteraard niet goed, het helpt het wel verklaren.
Een multinational heeft heel erg veel uitbesteed. Alles dat 'lokaal' is draait over het algemeen gewoon op een platform van een 3e partij.

Dus of het nu YouTube of AWS of Microsoft is waar de video 'lokaal' staat, het "risico" dat een beheerder er bij kan heb je op elk platform. In veel gevallen zijn de beheerders mensen die zeer dienstverlenend zijn van karakter en graag hun werk goed doen, dus content beschermen als dat nodig is.

Er zijn rotte appels, vooraf weet je meestal niet waar die zullen zijn, anders knip je ze al uit de boom voordat ze bederven. De ervaring leert dat als appels langer op de grond liggen dat ze eerder rot - en aangetast worden door ongedierte.
Streamkwaliteit is een stuk slechter en dat is voor bedrijven als Sony geen optie. Die willen immers hun geweldige graphics tonen. Het streamen van snelle beelden en bepaalde zaken zoals grasland/bos gaat soms tot beneden 720p kwaliteit.
Daar kan YouTube voor dit soort evenementen vast een uitzondering voor maken :)
Aangezien YouTube (en moederbedrijf Alphabet) heel wat ervaring hebben met het vastleggen van gebruikersdata zou ik denken dat het niet zo moeilijk moet zijn om te achterhalen wie vroegtijdig die informatie onder ogen heeft gekregen.
Dat is stap 1. Maar als er meerdere (of zelfs vele) die informatie hebben gezien, dan is nog steeds de vraag wie van die groep gelekt heeft. Dat is stap 2. En als ik wat zou lekken, dan zou ik zorgen dat het verdomd moeilijk te traceren zou zijn.
Een derde geval van het gebruik van informatie is een actie van een youtuber die Amazon-giftcards in beeld liet zien voor de eerste die ze kon verzilveren. Alle codes bleken achteraf voor het livegaan van de video verzilverd te zijn.
...heb je het beste voor met je kijkers, krijg je vervolgens een backlash van jewelste en blijkt het achteraf doodleuk een of andere youtube medewerker te zijn die je in het geniep zit te bestelen..
Ergens ben ik misschien wel verbaasd dat een Rockstar Games gewoon met goed vertrouwen die trailer destijds uploadde. Had wel verwacht dat er binnen YouTube een aantal hoogstaande mensen volledig op die trailer zouden zitten om alles te beschermen en dat de servers goed blijven werken. Ofzo.
Voor youtube zijn het gewoon video's van een kanaal die alvast klaargezet zijn. Er is dus helemaal geen beveiliging omdat youtube een videoplatform is en niet een aankondigingsplatform.

Dat medewerkers dus makkelijk content kunnen zien die niet publiek staat is ook logisch als je vanuit dat oogpunt redeneert. Het is alleen maar irritant als je dingen wil checken in verborgen video's en dat niet kan, en aangezien het een platform is voor publiek tonen van video's is er geen reden om dit voor medewerkers af te schermen.

Het is goed dat youtube nu ziet dat aankondigingscontent een speciale soort content is die anders beschermt moet worden en dat daar functies voor moeten worden toegevoegd. En misschien was het ook wel naïef van youtube in eerste instantie.
Toch maar weer terug naar live events dan. :)
Wel eens een documantaire geweest op de NOS over Facebook moderatoren, die via een uitzendbureau woden ingehuurd en dan in een gebouw in Berlijn werken. Die krijgen dus de meest afschuwelijke content te zien, een paar hadden er psychische schade opgelopen. Het uitzendbureau en FB leek het weinig te boeien.

Dan kan ik mij voorstellen dat je als personeel ook zoiets hebt van "het zal wel".

Geen idee of Alfabet / YT ook zo'n werknemer constructie heeft. Zou wel iets verklaren.
Zoals de CEO van een ander sociaal medium ooit gezegd zou hebben: "People just submitted it. I don't know why. They 'trust me'. Dumb fucks"

Ga er maar vanuit dat al deze megacorps alle gegevens die ze in handen hebben, voor alle doeleinden gebruiken, verkopen, recreatief doorsnuisteren en naar elkaar rondsturen met rofl-emoji's ernaast.

[Reactie gewijzigd door Enai op 23 juli 2024 12:28]

Op dit item kan niet meer gereageerd worden.