Et massivt sikkerhedsbrud på Twitch har afsløret et væld af oplysninger vedrørende webstedets kildekode, uudgivne projekter og endda hvor meget de bedste streamere tjener. Da dataanalytikere og journalister arbejder på at tyde, hvad der præcist er indeholdt i hundredvis af gigabyte information, undrer andre sig stadig over, hvordan dette skete.
Sådan et brud virkede som om det i stigende grad var sandsynligt for nogle. The Verge har talt med flere kilder, der hævder, at virksomheden i løbet af deres tid hos Twitch vurderede hastighed og fortjeneste over sikkerheden for sine brugere og sikkerheden for sine data.
Dette databrud, som Twitch bebrejder en fejl i en serverkonfiguration, er det seneste i en række sikkerheds- og moderationsproblemer, der har plaget den Amazon-ejede streamingplatform. I august udbrød hadrazziaer, hvor marginaliserede streamere blev udsat for et ukontrollabelt antal bots, der spammede hadytringer på tværs af Twitch.
Streamere slog sig sammen for at oprette #twitchdobetter hashtag og organiserede en walkout den 1. september for at gøre opmærksom på problemet og anspore Twitch til at implementere sikkerhedsforanstaltninger for at dæmme op for hadet. Som svar anerkendte Twitch streamers klager, opfordrede til tålmodighed og lovede, at det arbejdede med værktøjer, der ville hjælpe med at beskytte streamere og deres lokalsamfund bedre.
“Du beder os om at gøre det bedre, og vi ved, at vi skal gøre mere for at løse disse spørgsmål, ”sagde Twitch i sit svar.
Vi har set en masse samtale om aftapning, had -razziaer og andre former for chikane rettet mod marginaliserede skabere. Du beder os om at gøre det bedre, og vi ved, at vi skal gøre mere for at løse disse problemer. Det inkluderer en åben og løbende dialog om skabersikkerhed.
– Twitch (@Twitch) 11. august 2021
Men hadrazzia dukkede ikke bare pludselig op i sommer og, ifølge en tidligere Twitch -medarbejder blev der slået alarm om de potentielle overgreb mod raid længe før deres hadsort eksploderede i august.
En kilde, der talte med The Verge på betingelse af anonymitet, arbejdede hos Twitch fra 2017 til 2019. De beskrev en atmosfære, hvor medarbejderne var meget bekymrede for sikkerheden, men ledelsen mindre.
“Der ville være konstante spørgsmål og utilfredshed om de normale moderationsfejl,” siger kilden og forklarer, at ledelsen ville reagere på den utilfredshed, “meget langsomt.”
< p id = "VcYWkC">Denne kilde hævder, at raid internt blev diskuteret som værende en vektor for chikane bare i kraft af deres navn alene, og at teamet måtte skynde sig for at sikre funktionen, før den gik live. Kilden karakteriserer Twitch som et sted, der først og fremmest beskæftiger sig med bundlinjen. Hvis det ikke genererede indtægter, blev det ikke værdsat lige så højt.
:no_upscale()/cdn.vox- /uploads/chorus_asset/file/22907125/XMvqozb.png "Twitch's sikkerhedsproblemer startede længe før denne uges hack")
Twitch har nulstillet alles stream -nøgler. En anden kilde fortæller The Verge, at Twitch regelmæssigt har valgt ikke at afsløre sikkerhedsproblemer, den har stået over for. Et urapporteret sikkerhedsproblem opstod i 2017 ifølge kilden og åbnede platformen for nye risici.
Svindlere kunne angiveligt kontakte streamere, der anmodede om deling af indtægter fra Twitch Prime -abonnementer, og kilden hævder, at det førte til, at Twitch -konti blev forbundet til kompromitterede Amazon -konti.
Kilden bemærker, at angribere nu kan se genveje og API'er til interne Amazon -tjenester takket være denne lækage. Fordi Amazons Prime Gaming tilbyder indtægter til streamere gennem abonnementer, advarer kilden om, at det kan være en ny angrebsvektor for hackere, der sigter mod at tjene penge.
:no_upscale()/cdn.vox-ploads /chorus_asset/file/7881915/jbareham_170120_1423_0001.jpg "Twitch's sikkerhedsproblemer startede længe før denne uges hack")
Har du et tip om Twitch-sikkerhed eller moderering? Send e-mail til tips@theverge.com, eller kontakt os på Signal på +1-646-412-7005.
Flere kilder beskriver Twitch som et firma, der betaler “lip service” til sikkerhed, men som ikke bakker op om sine ord med handling. Mens Amazon ejer Twitch, fik streamingtjenesten fuld kontrol over sin teknologiske stak. Det betyder, at Twitch bruger mange tredjepartstjenester, som Amazon traditionelt har undgået. Twitch var på Slack, før Amazon til sidst vedtog det, og to kilder siger, at Twitch har kæmpet for at udføre effektive revisioner af den software og de værktøjer, den tidligere har brugt.
De samme kilder hævder de blev også bedt om at “godkende og gennemgå dokumenter” måneder efter, at de havde forladt Twitch.
Alt dette tilføjer typen af rodet miljø, hvor en konfigurationsfejl, som den der skete i denne uge, virkede uundgåelig. Twitch led i en eller anden form for sikkerhedsproblem i 2015, hvilket førte til uautoriseret adgang til nogle konti. Denne nye overtrædelse har afsløret en massiv mængde interne data for internettet, så Twitch ikke har anden mulighed end at behandle dem offentligt.
Twitch kører nu efter at finde ud af, hvor meget data der har blevet stjålet i dette hack. “Da undersøgelsen er i gang, er vi stadig i gang med at forstå virkningen i detaljer,” siger Twitch. Mens Twitch undersøger, river hundredvis eller tusinder af mennesker nu sine mest indre hemmeligheder fra hinanden.