問:馬來西亞歌手黃明志破碎了不少小粉紅的《玻璃心》,他的YouTube戶口因此一度被疑似俄羅斯黑客佔據,改為疑似俄文粗口的名字,以及將所有片段刪除,在谷歌人員協助下,黃明志在十多小時後才能恢復帳戶。其實現時YouTube已經強制創作人使用二步認證,為何仍然阻止不了黑客盜用賬號?
李建軍:當然,在這件事未有詳細技術資料公布前,不方便對原因作出推測。但的確,由於YouTube過往經常發生熱門頻道被黑客佔據的事件,因此YouTube已強令創作人使用二步認證。現時可以用三種方式進行二步認證,分別是短信、Google Authenticator應用程式,以及FIDO技術的實體金鑰。
Google Authenticator以及FIDO實體金鑰都是十分之安全,暫時未有任何被黑客攻入的紀錄,但短信二步認證的方式就存在安全漏洞,黑客可以透過SIM Swaps的技巧,攔截短信,獲取二步認證所需的單次密碼再攻入你的戶口,因此,身份敏感的人,不應該再用短信進行二步認證,使用手機的Google Authenticator應用程式,或類似的技術,已經是最低的安全要求。甚至應考慮加入谷歌公司保護記者和敏感創作人的Advanced Protection Program以策安全,因為Advanced Protection Program強制使用FIDO的金鑰,而且谷歌公司亦有專門人員監察網絡保安情況。理論上,作為敏感創作人,黃明志的戶口被攻入的技術難度,應該是十分之高。
另一方面,從這次事件的作案手法來看,當中不一定不涉及中共派來的人。因為,這次黃明志戶口只留下俄文粗口,以及刪除所有影片的手法,並不像俄羅斯黑客以往針對YouTube頻道的攻擊手法。像黃明志這類價值連城的戶口,如果被俄國人攻入,一般會收到勒索信息,或上傳大量不明來歷的垃圾片,用作播毒,以及將AdSense收益設法轉到他們擁有的一些古怪戶口名下,以擴大他們的收益。但這次黃明志被騎劫後,黑客將片段刪光,以及留下俄文粗口,情形更像一場意圖嫁禍的爛戲,終極目的其實是要《玻璃心》、《中國痛》這類批評中國的歌曲在YouTube上消失。
過往YouTube有黃標打壓言論自由的問題,由此可見,在YouTube或Adsense相關部門,並不會像Advanced Protection Program一樣,以保護言論自由為宗旨,儘管他們都屬於谷歌旗下機構。因此,這件事不應在黃明志的頻道恢復運作後就不再追查,相反,這件事既然在美國公司發生,聯邦調查局或其他保護美國安全的部門是有權介入並加以調查。至少要查清YouTube乃至谷歌是否保安系統有漏洞,還是員工有人出了問題,還是其他原因?這些都需要執法部門去調查,才會知道真相。
問:對於涉及敏感題材的YouTuber,你對他們在保安上又有甚麼建議,特別是仍然在中國和香港創作人,他們處境是否比在台灣以及馬來西亞的黃明志危險得多?
李建軍:首先,經常用作上傳YouTube片段的電腦,保安必須要做得很好,不能亂開電郵,亦要及時更新瀏覽器,以及不能夠安裝一些古怪的Chrome插件。而二步認證方面,最好用FIDO技術的實體金鑰,因為只有用FIDO技術的實體金鑰,才能夠將被攻入的可能減到最低。
另一方面,如果創作者收到谷歌邀請加入Advanced Protection Program,請務必參與,因為暫時而言,Advanced Protection Program提供的入侵偵測及提示功能是十分之有價值,當有國家政府意圖攻入你戶口時,他們會自動發電郵提醒你可能有入侵者,這點對加強當事人的警覺度是十分之重要的。至少可以及時在被攻入前,更換手機號碼,或者停止用可能被感染的電腦上傳影片等等。而未有加入Advanced Protection Program的創作者,除非他們選用一些企業級別的服務,否則他們難以知道有人試圖攻入戶口。另外,必須留意一些古怪的短信,或留意你的手機連接有否出現異常情況,如有異常情況,有可能反映你的帳戶正有人上下其手。