En ukjent hacker har lekket hele Twitchs kildekode blant en 128 GB rekke data som ble utgitt denne uken.
Hacket, først rapportert av Video Games Chronicle og bekreftet av flere kilder, inkluderer:
Hele twitch.tv, med forpliktelseshistorikk som går tilbake til sin tidlige begynnelse
Mobil, desktop og konsoll Twitch -klienter
Utbetalingsrapporter for skapere fra 2019
Proprietære SDK -er og interne AWS -tjenester som brukes av Twitch
Hver annen eiendom som Twitch eier, inkludert IGDB og CurseForge
En ikke -utgitt Steam -konkurrent, kodenavnet Vapor, fra Amazon Game Studios
Twitch SOC interne red teaming -verktøy
Hackeren, som kalte seg “Anonym” på et 4chan diskusjonstavle, sa at Twitch -samfunnet er “et motbydelig giftig cesspool, for å fremme mer forstyrrelse og konkurranse i online videostrømming plass, har vi fullstendig pwnet dem, og i del en frigjør vi kildekoden fra nesten 6000 interne Git -arkiver. “
” Jeff Besos betalte $ 970 millioner for dette, vi gir den bort GRATIS . #DoBetterTwitch, “la hackeren til.
Digital Shadows
Twitch og Amazon, som eier selskapet, svarte ikke på forespørsler om kommentar.
De ga ut en kort uttalelse på Twitter som bekreftet at det skjedde et brudd og lovet å slippe oppdateringer på et tidspunkt.
Twitch er en av de største spillplattformene i verden, med et gjennomsnitt på 15 millioner daglige brukere og mer enn 2 millioner Twitch -skapere som sender hver måned.
Mer enn 18 milliarder timer med Twitch -videoer ble streamet i 2020.
#DoBetterTwitch har trent i flere uker ettersom plattformen har stått overfor tilbakeslag for å tillate “hat -raid” – der kommentarseksjonene til minoritetsspillere blir overveldet av slurv og overgrep. Twitch ble tvunget til å ta opp problemet i en Twitter -tråd i august og lovet å gjøre mer med rasemishandling.
“Dette er ikke fellesskapet vi ønsker på Twitch, og vi vil at du skal vite at vi jobber hardt for å gjøre Twitch til et tryggere sted for skapere. Hater spamangrep er et resultat av svært motiverte dårlige skuespillere, og har ikke en enkel løsning. “Sa Twitch. “Rapportene dine har hjulpet oss med å iverksette tiltak. Vi har kontinuerlig oppdatert de forbudte ordfiltrene på nettstedet vårt for å forhindre variasjoner på hatefulle slord og fjerne roboter når de ble identifisert.”
Ordene gjorde lite for å dempe opprør og spillere holdt en protest i forrige måned og boikotte nettstedet i 24 timer på grunn av selskapets passivitet mot “hate raids”.
Offentlig reaksjon på lekkasjen har fokusert på den enorme inntekten til populære spillere – som nådde millioner for noen. I et intervju med BBC News bekreftet Fortnite -streamer BBG Calc at inntektene hans i lekkasjen var riktige, og andre høyt inntekter støttet det.
Det var også en betydelig mengde forretningsinformasjon fra Amazon utgitt i hackingen, inkludert selskapets planer om en rival til spillplattformen Steam som heter Vapor.
Andre reiste alvorlige bekymringer om sikkerheten til plattformen og de mange bankkontiene som er koblet til den.
SocialProof Security -sjef Rachel Tobac advarte streamere om å sikre at deres finansielle tjenester har den sterkeste MFA tilgjengelig fordi de nå vil være mål for andre hackere og svindlere.
“For streamere med utbetalingsdata lekket, inkluderer dette Venmo, CashApp, Bank, etc. Hvis maskinvarebasert MFA er et alternativ, går du til det innen utgangen av dagen (selv om mange banker fremdeles ikke tilbyr alternativer for sikkerhetsnøkler). Hvis sikkerhetsnøkkel ikke er et alternativ, går du til appbasert MFA i stedet for SMS- basert, “skrev Tobac.
“Inntrengere skal ha lekket Twitch interne red team -verktøy og trusselmodeller – brutale. Hvis det er sant, vil dette sannsynligvis inkludere phishing -lokkemidler som er kjent for å være vellykkede mot Twitch -ansatte, hackebokboken. Hvis du jobber på Twitch, vær høflig paranoid om meldinger, forespørsler osv. “
F-Secure-forsker Jarno Niemela sa at passordhaser har lekket, så alle brukere bør endre passordene sine og bruke 2FA hvis de ikke allerede gjør det.
“Men ettersom angriperen indikerte at de ennå ikke har offentliggjort all informasjonen de har, bør alle som har vært en Twitch -bruker gå gjennom all informasjon de har gitt til Twitch, og se om det er noen forholdsregler de må ta, slik at ytterligere private informasjon lekker ikke, “la Niemela til.
Alle sikkerhetstiltakene til Twitchs røde team er nå allment tilgjengelige, og gir hackere uberørt informasjon om hvordan de kan invadere selskapet og de som er knyttet til det, la hun til.
Blant filene som ble lekket, var eksperter fokusert på mappene “kjernekonfigurasjonspakker”, “devtools” (utviklerverktøy) “infosec” (informasjonssikkerhet).
James Chappell, medgründer av Digital Shadows, sa at en av Twitchs interne GitHub-lagre ble stjålet i angrepet.
De lekkede dataene ble gjort tilgjengelige gjennom torrenter som deles som magnetlenker. Datasettet ser ut til å være omfattende. Det har også blitt merket som en 'del 1', noe som tyder på at det er mer som kommer. Selv om det ikke ser ut til at brukerdata er i arkivet, spekulerer brukere på forumet om hva som kan følge, sier Chappell.
“Det ser ut til å være bevis på at de originale filene kom fra en intern GitHub-server, git-aws.internal.justin.tv, i det minste var en del av bruddet. Justin.tv var navnet på et selskap som til slutt ble til Twitch. Det ble merket som rykninger i 2011 – så dette ser ut som et mangeårig stykke infrastruktur. “
Sikkerhetseksperter som ThreatModeler -sjef Archie Agarwal beskrev hackingen som “så ille som den kan være” og stilte spørsmål ved hvordan noen klarte å eksfiltrere 128 GB “av de mest følsomme dataene man kan tenke seg uten å utløse en eneste alarm.”
Sikkerhet
Fortinet, Shopify rapporterer problemer etter at rot -CA -sertifikatet fra Lets Encrypt utløper Ransomware -gjengene klager over at andre skurker stjeler løsesummen sin. Bandwidth CEO bekrefter avbrudd forårsaket av DDoS -angrep Disse systemene står overfor milliarder av angrep hver måned som hackere prøver å gjette passord Hvordan få en best betalende jobb innen cybersecurity Cybersecurity 101: Beskytt personvernet ditt mot hackere, spioner, regjeringen
Relaterte emner:
Datahåndteringssikkerhet TV CXO datasentre 