En ukendt hacker har lækket hele Twitchs kildekode blandt en 128 GB stor mængde data, der blev frigivet i denne uge.
Hacket, der først blev rapporteret af Videospil Chronicle og bekræftet af flere kilder, inkluderer:
Hele twitch.tv, hvor begivenhedshistorie går tilbage til sin tidlige begyndelse
Mobil, desktop og konsol Twitch -klienter
Skaberudbetalingsrapporter fra 2019
Proprietære SDK'er og interne AWS -tjenester, der bruges af Twitch
Hver anden ejendom, som Twitch ejer, inklusive IGDB og CurseForge
En uudgivet Steam -konkurrent, kodenavnet Vapor, fra Amazon Game Studios
Twitch SOC interne red teaming -værktøjer
Hackeren, der kaldte sig “Anonym” på et 4chan diskussionsforum, sagde, at Twitch's samfund er “et modbydeligt giftigt cesspool, så for at fremme mere forstyrrelse og konkurrence i online video streaming plads, har vi fuldstændigt pwnet dem, og i del 1 frigiver vi kildekoden fra næsten 6.000 interne Git -lagre. “
” Jeff Besos betalte $ 970 millioner for dette, vi giver den væk GRATIS . #DoBetterTwitch, “tilføjede hackeren.
Digitale skygger
Twitch og Amazon, der ejer virksomheden, reagerede ikke på anmodninger om kommentarer.
De udsendte en kort erklæring på Twitter, der bekræftede, at der skete et brud, og lovede at frigive opdateringer på et tidspunkt.
Twitch er en af de største spilplatforme i verden med i gennemsnit 15 millioner daglige brugere og mere end 2 millioner Twitch -skabere, der sender månedligt.
Mere end 18 milliarder timers Twitch -videoer blev streamet i 2020.
#DoBetterTwitch har trender i flere uger, da platformen har stået over for modreaktion for at tillade “had raids” – hvor kommentarsektionerne fra minoritetsspillere er overvældet af sludder og misbrug. Twitch blev tvunget til at behandle problemet i en Twitter -tråd i august og lovede at gøre mere ved racemishandling.
“Dette er ikke det samfund, vi ønsker på Twitch, og vi vil have dig til at vide, at vi arbejder hårdt på at gøre Twitch til et sikrere sted for skabere. Hade spam -angreb er et resultat af stærkt motiverede dårlige skuespillere og har ikke en simpel løsning, “Sagde Twitch. “Dine rapporter har hjulpet os med at tage handling-vi har løbende opdateret vores forbudte ordfiltre på hele webstedet for at forhindre variationer i hadefulde sludder og fjerne bots, når de blev identificeret.”
Ordene hjalp lidt på forargelse og spillere holdt en protest i sidste måned og boykottede stedet i 24 timer på grund af virksomhedens passivitet med “had -raid”.
Offentlig reaktion på lækagen har fokuseret på den massive indtjening for populære spillere – som nåede millioner for nogle. I et interview med BBC News bekræftede Fortnite streamer BBG Calc, at hans indtjening i lækagen var korrekt, og andre højtlønnede bakkede den op.
Der blev også frigivet en betydelig mængde forretningsinformation fra Amazon i hackingen, herunder virksomhedens planer om en rival til spilplatform Steam kaldet Vapor.
Andre rejste alvorlige bekymringer om platformens sikkerhed og de mange bankkonti, der er forbundet med den.
SocialProof Security -administrerende direktør Rachel Tobac advarede streamere om at sikre, at deres finansielle tjenester har den stærkeste MFA til rådighed, fordi de nu vil være mål for andre hackere og svindlere.
“For streamere med udbetalingsdata lækket inkluderer dette Venmo, CashApp, Bank osv. Hvis hardware-baseret MFA er en mulighed, skal du flytte til det inden udgangen af dagen (selvom mange banker stadig ikke tilbyder muligheder for sikkerhedsnøgler). Hvis sikkerhedsnøgle ikke er en mulighed, skal du flytte til app-baseret MFA frem for SMS- baseret, “skrev Tobac.
“Ubudne gæster angiveligt lækket Twitch interne red team -værktøjer og trusselsmodeller – brutale. Hvis det er sandt, vil dette sandsynligvis omfatte phishing -lokkemidler, der vides at være succesfulde mod Twitch -medarbejdere, hackebogen. Hvis du arbejder på Twitch, skal du være høfligt paranoid om beskeder, anmodninger osv. “
F-Secure-forsker Jarno Niemela sagde, at hashkoder til kodeord er lækket, så alle brugere bør ændre deres adgangskoder og bruge 2FA, hvis de ikke allerede gør det.
“Men da angriberen angav, at de endnu ikke har frigivet alle de oplysninger, de har, bør enhver, der har været en Twitch -bruger, gennemgå alle oplysninger, de har givet til Twitch, og se om der er nogen forholdsregler, de skal tage, så yderligere private information lækker ikke, “tilføjede Niemela.
Alle Twitchs sikkerhedsforanstaltninger for rødt team er nu bredt tilgængelige og giver hackere utallige oplysninger om, hvordan de invaderer virksomheden og dem, der er forbundet med det, tilføjede hun.
Blandt de lækkede filer var eksperter fokuseret på mapperne “core config -pakker”, “devtools”, (udviklerværktøjer) “infosec”, (informationssikkerhed).
James Chappell, medstifter af Digital Shadows, sagde, at et af Twitchs interne GitHub-lagre blev stjålet i angrebet.
De lækkede data blev gjort tilgængelige via torrents, der blev delt som magnetlinks. Datasættet ser ud til at være omfattende. Det er også blevet mærket som en 'del 1', hvilket tyder på, at der skal mere til. Selvom brugerdata i øjeblikket ikke ser ud til at være i arkivet, spekulerer brugere på forummet om, hvad der kan følge, “sagde Chappell.
“Der synes at være tegn på, at de originale filer kom fra en intern GitHub-server, git-aws.internal.justin.tv, i det mindste var en del af bruddet. Justin.tv var navnet på et firma, der til sidst blev til Twitch. Det blev rebranded som ryk i 2011 – så det ligner et mangeårigt stykke infrastruktur. “
Sikkerhedseksperter som ThreatModeler CEO Archie Agarwal beskrev hacket som “så slemt som det overhovedet kunne være” og stillede spørgsmålstegn ved, hvordan det lykkedes nogen at eksfiltrere 128 GB “af de mest følsomme data, man kunne forestille sig, uden at udløse en enkelt alarm.”
Sikkerhed
Fortinet, Shopify rapporterer problemer efter root CA -certifikat fra Lets Encrypt udløber Ransomware -bander klager over, at andre skurke stjæler deres løsesum Båndbredde -CEO bekræfter afbrydelser forårsaget af DDoS -angreb Disse systemer står over for milliarder af angreb hver måned som hackere forsøger at gætte adgangskoder Sådan får du et bedst betalende job inden for cybersecurity Cybersecurity 101: Beskyt dit privatliv mod hackere, spioner, regeringen
Relaterede emner:
Datahåndteringssikkerhed TV CXO Datacentre 