Een onbekende hacker heeft de volledige broncode van Twitch gelekt tussen een 128 GB aan gegevens die deze week zijn vrijgegeven.
De hack, voor het eerst gerapporteerd door Video Games Chronicle en bevestigd door meerdere bronnen, omvat:
Het geheel van twitch.tv, met commit-geschiedenis die teruggaat tot het prille begin
Twitch-clients voor mobiel, desktop en console
Uitbetalingsrapporten van de maker van 2019
Eigen SDK's en interne AWS-services die door Twitch worden gebruikt
Elke andere eigendom die Twitch bezit, inclusief IGDB en CurseForge
Een niet-uitgebrachte Steam-concurrent, met de codenaam Vapor, van Amazon Game Studios
Interne rode teamingtools van Twitch SOC
De hacker, die zichzelf 'anoniem' noemde op een discussiebord van 4chan, zei dat de community van Twitch 'een walgelijke giftige beerput is, om meer verstoring en concurrentie in de online videostreaming te bevorderen' space hebben we ze volledig gepwd, en in deel één geven we de broncode vrij van bijna 6.000 interne Git-repositories.”
“Jeff Besos heeft hiervoor $970 miljoen betaald, we geven het GRATIS weg #DoBetterTwitch”, voegde de hacker eraan toe.
Digital Shadows
Twitch en Amazon, eigenaar van het bedrijf, reageerden niet op verzoeken om commentaar.
Ze hebben een korte verklaring op Twitter uitgebracht waarin ze bevestigen dat er een inbreuk heeft plaatsgevonden en beloofden op een bepaald moment updates vrij te geven.
Twitch is een van de grootste gamingplatforms ter wereld, met gemiddeld 15 miljoen dagelijkse gebruikers en meer dan 2 miljoen Twitch-makers die maandelijks uitzenden.
Meer dan 18 miljard uur aan Twitch-video's zijn gestreamd in 2020.
#DoBetterTwitch is al weken een trend, omdat het platform te maken kreeg met terugslag voor het toestaan van “haataanvallen” – waarbij de commentaarsecties van minderheidsgamers overweldigd worden door laster en misbruik. Twitch werd gedwongen om het probleem in augustus in een Twitter-thread aan te pakken en beloofde meer te doen aan racistisch misbruik.
“Dit is niet de community die we op Twitch willen, en we willen dat je weet dat we er hard aan werken om van Twitch een veiligere plek te maken voor makers. Haatspamaanvallen zijn het resultaat van zeer gemotiveerde kwaadwillenden en hebben geen eenvoudige oplossing, ' zei Twitch. “Uw rapporten hebben ons geholpen actie te ondernemen. We hebben onze sitebrede filters voor verboden woorden voortdurend bijgewerkt om variaties op hatelijke laster te voorkomen en bots te verwijderen wanneer ze worden geïdentificeerd.”
De woorden deden weinig om verontwaardiging te onderdrukken en gamers hielden vorige maand een protest, waarbij ze de site 24 uur lang boycotten vanwege de passiviteit van het bedrijf tegen 'haataanvallen'.
De publieke reactie op het lek was gericht op de enorme inkomsten van populaire gamers – die voor sommigen miljoenen bereikten. In een interview met BBC News bevestigde Fortnite-streamer BBG Calc dat zijn inkomsten in het lek correct waren en andere hoogverdieners ondersteunden het.
Er werd ook een aanzienlijke hoeveelheid bedrijfsinformatie van Amazon vrijgegeven bij de hack, waaronder de plannen van het bedrijf voor een concurrent van het gamingplatform Steam, genaamd Vapor.
Anderen maakten zich ernstig zorgen over de beveiliging van het platform en de vele bankrekeningen die ermee verbonden zijn.
SocialProof Security CEO Rachel Tobac waarschuwde streamers om ervoor te zorgen dat hun financiële diensten de sterkste MFA hebben die beschikbaar is, omdat ze nu het doelwit zullen zijn voor andere hackers en oplichters.
“Voor streamers waarvan uitbetalingsgegevens zijn gelekt, omvat dit Venmo, CashApp, Bank, enz. Als op hardware gebaseerde MFA een optie is, ga daar dan voor het einde van de dag naartoe (hoewel veel banken nog steeds geen beveiligingssleutelopties bieden).Als beveiligingssleutel geen optie is, ga dan naar app-gebaseerde MFA in plaats van sms- gebaseerd”, schreef Tobac.
“Indringers zouden Twitch interne rode teamtools en bedreigingsmodellen hebben gelekt — brutaal. Als dit waar is, zou dit waarschijnlijk phishing-lokmiddelen zijn waarvan bekend is dat ze succesvol zijn tegen Twitch-medewerkers, het hack-playbook. Als je bij Twitch werkt, wees dan beleefd paranoïde over berichten, verzoeken, enz.”
F-Secure-onderzoeker Jarno Niemela zei dat wachtwoordhashes zijn uitgelekt, dus alle gebruikers moeten hun wachtwoord wijzigen en 2FA gebruiken als ze dat nog niet doen.
“Maar aangezien de aanvaller aangaf dat ze nog niet alle informatie hebben vrijgegeven die ze hebben, moet iedereen die een Twitch-gebruiker is geweest, alle informatie die ze aan Twitch hebben gegeven, bekijken en kijken of er voorzorgsmaatregelen zijn die ze moeten nemen zodat verdere privé informatie is niet gelekt”, voegde Niemela eraan toe.
Alle beveiligingsmaatregelen van het rode team van Twitch zijn nu algemeen beschikbaar, waardoor hackers ongekende informatie krijgen over hoe ze het bedrijf en degenen die ermee verbonden zijn kunnen binnendringen, voegde ze eraan toe.
Onder de uitgelekte bestanden waren experts gefocust op de mappen “core config packages”, “devtools”, (developer tools) “infosec,” (informatiebeveiliging).
James Chappell, mede-oprichter van Digital Shadows, zei dat een van de interne GitHub-opslagplaatsen van Twitch bij de aanval was gestolen.
De gelekte gegevens werden beschikbaar gesteld via torrents die als magneetkoppelingen werden gedeeld. De dataset lijkt uitgebreid. Het is ook bestempeld als een 'deel 1', wat suggereert dat er meer gaat komen. Hoewel gebruikersgegevens momenteel niet in het archief lijken te staan, speculeren gebruikers op het forum over wat er kan volgen”, aldus Chappell.
“Er lijkt bewijs te zijn dat de originele bestanden afkomstig waren van een interne GitHub-server, git-aws.internal.justin.tv, was op zijn minst een deel van de inbreuk. Justin.tv was de naam van een bedrijf dat uiteindelijk veranderde in Twitch. Het werd in 2011 omgedoopt tot twitch – dus dit ziet eruit als een al lang bestaand stuk infrastructuur.”
Beveiligingsexperts zoals Archie Agarwal, CEO van ThreatModeler, beschreef de hack als “zo erg als het maar zou kunnen zijn” en vroegen zich af hoe iemand erin slaagde 128 GB “van de meest gevoelige gegevens die je je maar kunt bedenken” te exfiltreren zonder een enkel alarm af te laten gaan.
Beveiliging
Fortinet, Shopify melden problemen nadat root-CA-certificaat van Lets Encrypt verloopt Ransomware-bendes klagen dat andere oplichters hun losgeld stelen Bandbreedte CEO bevestigt uitval veroorzaakt door DDoS-aanval Deze systemen worden elke maand geconfronteerd met miljarden aanvallen terwijl hackers wachtwoorden proberen te raden Een goedbetaalde baan in cybersecurity krijgen Cybersecurity 101: Bescherm uw privacy tegen hackers, spionnen, de overheid
Verwante onderwerpen:
Gegevensbeheer Beveiliging TV CXO-datacenters 