„Twitch“ šaltinio kodas, verslo duomenys, žaidėjų išmokos nutekėjo per didžiulį įsilaužimą

Nežinomas įsilaužėlis nutekino visą „Twitch“ šaltinio kodą tarp šią savaitę paskelbtų 128 GB duomenų.

Apie įsilaužimą pirmą kartą pranešė Vaizdo žaidimų kronika ir patvirtinta iš kelių šaltinių, apima:

• Visa twitch.tv, kurios įsipareigojimų istorija siekia ankstyvą jos pradžią

• ZDNET Rekomenduoja

  • Geriausios VPN paslaugos
  • Geriausi saugos raktai
  • Geriausia antivirusinė programinė įranga
  • Greičiausi VPN

  „Twitch“ klientai mobiliesiems, staliniams kompiuteriams ir konsolėms

• Kūrėjų išmokėjimo ataskaitos nuo 2019 m

• Patentuoti SDK ir vidinės AWS paslaugos, kurias naudoja „Twitch“.

• Visa kita nuosavybė, kuri priklauso „Twitch“, įskaitant IGDB ir CurseForge

• Neišleistas Steam konkurentas, kodiniu pavadinimu Vapor, iš Amazon Game Studios

• „Twitch SOC“ vidiniai raudonieji komandos kūrimo įrankiai 

Įsilaužėlis, 4chan diskusijų lentoje pasivadinęs „anoniminiais“, sakė, kad „Twitch“ bendruomenė yra „šlykšti toksiška šiukšlių dėžė, todėl siekiant paskatinti daugiau trikdžių ir konkurencija internetinėje vaizdo transliavimo erdvėje, mes juos visiškai išprašėme ir iš dalies išleidžiame šaltinio kodą iš beveik 6 000 vidinių Git saugyklos“.

„Jeffas Besosas už tai sumokėjo 970 milijonų dolerių, mes atiduodame tai NEMOKAMAI. #DoBetterTwitch“, – pridūrė įsilaužėlis.

„Twitch“ ir „Amazon“, kuriai priklauso įmonė, neatsakė į prašymus komentuoti.

Jie paleistas trumpas pareiškimas socialiniame tinkle „Twitter“, patvirtinantis, kad įvyko pažeidimas, ir pažadėti tam tikru momentu išleisti atnaujinimus.

Twitch yra vienas iš didžiausias žaidimų platformų pasaulyje, kuriose kas mėnesį transliuoja vidutiniškai 15 milijonų vartotojų ir daugiau nei 2 milijonai „Twitch“ kūrėjų.

2020 m. buvo transliuojama daugiau nei 18 milijardų valandų „Twitch“ vaizdo įrašų.

#DoBetterTwitch jau keletą savaičių populiarėjo, nes platforma susidurdavo su priešiškumu dėl „neapykantos reidų“ leidimų, kur mažumų žaidėjų komentarų skiltys yra priblokšti šmeižtų ir piktnaudžiavimo. Twitch buvo priverstas išspręsti šią problemą „Twitter“ gija rugpjūčio mėn. ir pažadėjo daugiau kovoti su rasine prievarta.

„Tai nėra ta bendruomenė, kurios norime „Twitch“, ir norime, kad žinotumėte, jog sunkiai dirbame, kad „Twitch“ taptų saugesnė kūrėjų vieta. Neapykantos šlamšto atakos yra labai motyvuotų blogų veikėjų rezultatas ir nėra paprasto pataisymo“, – sakė Twitch. „Jūsų ataskaitos padėjo mums imtis veiksmų – nuolat atnaujinome visoje svetainėje uždraustų žodžių filtrus, kad padėtume išvengti neapykantą kurstančių užgaulių ir pašalintume robotus, kai jie nustatomi.

Šie žodžiai mažai numalšino pasipiktinimą ir žaidėjus surengė protestą praėjusį mėnesį boikotavo svetainę 24 valandas dėl bendrovės neveikimo „neapykantos reiduose“.

Visuomenės reakcija į nutekėjimą buvo sutelkta į didžiulis uždarbis populiarių žaidėjų – kai kuriems tai siekė milijonus. Interviu su BBC News „Fortnite“ transliuotojas BBG Calc patvirtino kad jo uždarbis per nutekėjimą buvo teisingas ir kiti daug uždirbantys asmenys tai patvirtino.

Per įsilaužimą taip pat buvo paskelbta daug verslo informacijos iš „Amazon“, įskaitant bendrovės planus dėl žaidimų platformos „Steam“ varžovo „Vapor“.

Kiti išreiškė didelį susirūpinimą dėl platformos ir daugelio su ja susijusių banko sąskaitų saugumo.

SocialProof Security generalinė direktorė Rachel Tobac perspėjo transliuotojai, siekdami užtikrinti, kad jų finansinės paslaugos turėtų didžiausią turimą MFP, nes dabar jie taps kitų įsilaužėlių ir sukčių taikiniais.

„Srautinių transliuotojų, kurių išmokėjimo duomenys nutekėjo, atveju tai apima „Venmo“, „CashApp“, banką ir kt. Jei galima pasirinkti aparatinę MFA, pereikite prie jos iki dienos pabaigos (nors daugelis bankų vis dar nesiūlo saugos rakto parinkčių). Jei saugos raktas nėra parinktis, pereikite prie programomis pagrįstos MFA, o ne SMS žinutėmis“, – rašė Tobac.

„Įsibrovėliai tariamai nutekino „Twitch“ vidinius raudonosios komandos įrankius ir grėsmių modelius – žiauriai. Jei tai tiesa, greičiausiai tai apimtų sukčiavimo jaukus, kurie, kaip žinoma, buvo sėkmingi prieš „Twitch“ darbuotojus, įsilaužimo planą. Jei dirbate „Twitch“, būkite mandagiai paranojiškas dėl pranešimų, užklausų ir pan.

F-Secure tyrėjas Jarno Niemela teigė, kad slaptažodžių maišos nutekėjo, todėl visi vartotojai turėtų pakeisti savo slaptažodžius ir naudoti 2FA, jei to dar nedaro.

„Tačiau kadangi užpuolikas nurodė, kad jis dar nepaskelbė visos turimos informacijos, kiekvienas, kuris buvo „Twitch“ naudotojas, turėtų peržiūrėti visą informaciją, kurią jie suteikė „Twitch“, ir pažiūrėkite, ar yra kokių nors atsargumo priemonių, kurių reikia imtis, kad nebūtų nutekinta papildoma privati ​​informacija“, – sakė Niemela. pridėta.

Ji pridūrė, kad visos „Twitch“ raudonosios komandos saugumo priemonės dabar yra plačiai prieinamos, suteikiant įsilaužėliams neišpasakytos informacijos apie tai, kaip įsiveržti į įmonę ir su ja susijusius asmenis.

Tarp nutekintų failų ekspertai daugiausia dėmesio skyrė aplankams „pagrindiniai konfigūracijos paketai“, „devtools“, (kūrėjo įrankiai) „infosec“ (informacijos sauga).

Jamesas Chappellas, vienas iš „Digital Shadows“ įkūrėjų, sakė, kad per ataką buvo pavogta viena iš „Twitch“ vidinių „GitHub“ saugyklų.

Nutekėję duomenys buvo prieinami per torrentus, kurie buvo bendrinami kaip magnetinės nuorodos. Atrodo, kad duomenų rinkinys yra išsamus. Ji taip pat buvo pažymėta kaip „1 dalis“, o tai rodo, kad bus daugiau. Nors šiuo metu neatrodo, kad vartotojų duomenų archyve būtų, forumo naudotojai spėlioja, kas gali būti toliau“, – sakė Chappell.

„Atrodo, kad yra įrodymų, kad pirminiai failai atkeliavo iš vidinio „GitHub“ serverio, git-aws.internal.justin.tv, bent jau dalis pažeidimo. Justin.tv buvo įmonės, kuri galiausiai virto Twitch, pavadinimas. 2011 m. ji buvo pervadinta į „twitch“, todėl atrodo, kad tai yra ilgametė infrastruktūros dalis.

Saugumo ekspertai, tokie kaip „ThreatModeler“ generalinis direktorius Archie Agarwal, įsilaužimą apibūdino kaip „tokį blogą, koks tik gali būti“ ir suabejojo, kaip kažkam pavyko išfiltruoti 128 GB „jautriausių duomenų, kuriuos galima įsivaizduoti, nepažeidžiant nė vieno signalizacija“.