En okänd hacker har läckt ut hela Twitchs källkod bland en 128 GB mängd data som släpptes den här veckan.
Hacket, som först rapporterades av Video Games Chronicle och bekräftades av flera källor, inkluderar:
Hela twitch.tv, med engagemangshistorik som går tillbaka till dess tidiga början
Mobil-, stationär- och konsol Twitch -klienter
Utbetalningsrapporter för skapare från 2019
Egna SDK: er och interna AWS -tjänster som används av Twitch
Varannan egendom som Twitch äger inklusive IGDB och CurseForge
En okänd Steam -konkurrent, kodnamnet Vapor, från Amazon Game Studios
Twitch SOC interna red teaming -verktyg
Hackaren, som kallade sig “Anonym” på en 4chan diskussionstavla, sa att Twitch's community är “en äcklig giftig cesspool, så för att främja mer avbrott och konkurrens i videostreaming online utrymme, vi har helt pwnat dem, och i del ett släpper vi källkoden från nästan 6 000 interna Git -arkiv. “
” Jeff Besos betalade 970 miljoner dollar för detta, vi ger bort det GRATIS . #DoBetterTwitch “, tillade hackaren.
Digitala skuggor
Twitch och Amazon, som äger företaget, svarade inte på begäran om kommentar.
De släppte ett kort uttalande på Twitter som bekräftade att ett intrång inträffade och lovade att släppa uppdateringar någon gång.
Twitch är en av de största spelplattformarna i världen, med i genomsnitt 15 miljoner dagliga användare och mer än 2 miljoner Twitch -skapare som sänder varje månad.
Mer än 18 miljarder timmar av Twitch -videor streamades 2020.
#DoBetterTwitch har trenderat i veckor då plattformen har mött motreaktioner för att tillåta “hatattack” – där kommentarsektionerna hos minoritetsspelare är överväldigade av förtal och missbruk. Twitch tvingades ta upp problemet i en Twitter -tråd i augusti och lovade att göra mer åt rasmissbruk.
“Det här är inte gemenskapen vi vill ha på Twitch, och vi vill att du ska veta att vi arbetar hårt för att göra Twitch till en säkrare plats för skapare. Hata spamattacker är resultatet av mycket motiverade dåliga skådespelare och har ingen enkel lösning, “Sa Twitch. “Dina rapporter har hjälpt oss att vidta åtgärder-vi har kontinuerligt uppdaterat våra förbjudna ordfilter för hela webbplatsen för att förhindra variationer på hatfulla förtal och ta bort bots när de identifierats.”
Orden dämpade lite upprördhet och spelare höll en protest förra månaden och bojkottade sajten i 24 timmar på grund av företagets passivitet mot “hatattack”.
Allmän reaktion på läckan har fokuserat på massiva intäkter från populära spelare – som nådde miljoner för vissa. I en intervju med BBC News bekräftade Fortnite streamer BBG Calc att hans intäkter i läckan var korrekta och andra höginkomsttagare backade upp det.
Det fanns också en betydande mängd affärsinformation från Amazon som släpptes i hacket, inklusive företagets planer på en rival till spelplattformen Steam som heter Vapor.
Andra väckte allvarliga farhågor om plattformens säkerhet och de många bankkonton som är anslutna till den.
SocialProof Security -vd Rachel Tobac varnade streamers för att se till att deras finansiella tjänster har det starkaste MFA som finns, eftersom de nu kommer att vara mål för andra hackare och bedragare.
“För streamers med utbetalningsdata läckt inkluderar detta Venmo, CashApp, Bank, etc. Om hårdvarubaserad MFA är ett alternativ, flytta till det i slutet av dagen (även om många banker fortfarande inte erbjuder säkerhetsnyckelalternativ). Om säkerhetsnyckel inte är ett alternativ, gå till appbaserat MFA istället för SMS- baserad, “skrev Tobac.
“Inkräktare har förmodligen läckt Twitch interna red team -verktyg och hotmodeller – brutalt. Om det är sant skulle detta troligtvis inkludera phishing -lock som är kända för att vara framgångsrika mot Twitch -anställda, hackingspelboken. Om du arbetar på Twitch, var artigt paranoid om meddelanden, förfrågningar etc. “
F-Secure-forskaren Jarno Niemela sa att lösenordshascher har läckt ut, så alla användare bör ändra sina lösenord och använda 2FA om de inte redan gör det.
“Men eftersom angriparen indikerade att de ännu inte har släppt all information de har, bör alla som har varit en Twitch -användare granska all information de har gett till Twitch och se om det finns några försiktighetsåtgärder som de behöver vidta så att ytterligare privata information läcker inte ut ”, tillade Niemela.
Alla säkerhetsåtgärder från Twitchs röda team är nu allmänt tillgängliga, vilket ger hackare otydlig information om hur man invaderar företaget och de som är anslutna till det, tillade hon.
Bland filerna som läcktes ut var experter inriktade på mapparna “core config -paket”, “devtools” (utvecklarverktyg) “infosec” (informationssäkerhet).
James Chappell, medgrundare av Digital Shadows, sa att en av Twitchs interna GitHub-förråd stals i attacken.
Den läckta informationen gjordes tillgänglig genom torrenter som delades som magnetlänkar. Datauppsättningen verkar vara omfattande. Det har också märkts som en “del 1”, vilket tyder på att det finns mer att komma. Även om användardata för närvarande inte verkar finnas i arkivet, spekulerar användare på forumet om vad som kan komma att följa, säger Chappell.
“Det verkar finnas bevis för att de ursprungliga filerna kom från en intern GitHub-server, git-aws.internal.justin.tv, var åtminstone en del av brottet. Justin.tv var namnet på ett företag som så småningom förvandlades till Twitch. Det rebranded som ryck 2011 – så det här ser ut som en långvarig infrastruktur. “
Säkerhetsexperter som ThreatModeler VD Archie Agarwal beskrev hacket som “så illa som det kan vara” och ifrågasatte hur någon lyckades exfiltrera 128 GB “av de mest känsliga data man kan tänka sig utan att utlösa ett enda larm.”
Säkerhet
Fortinet, Shopify rapporterar problem efter root -CA -certifikat från Lets Encrypt går ut Ransomware -gäng klagar på att andra skurkar stjäl sina lösenband Bandwidth CEO bekräftar avbrott orsakade av DDoS -attack Dessa system står inför miljontals attacker varje månad som hackare försöker gissa lösenord Hur man får ett högst betalande jobb inom cybersäkerhet Cybersäkerhet 101: Skydda din integritet från hackare, spioner, regeringen
Relaterade ämnen:
Datahantering Säkerhet TV CXO Datacenter 