Изходният код на Twitch, бизнес данни, геймърските плащания изтекоха в масивен хак

Сподели
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Неизвестен хакер е изтекъл целия изходен код на Twitch сред 128 GB данни, публикувани тази седмица.

Хакът, за първи път докладван от Хроника на видеоигрите и потвърдено от множество източници, включва:

  • Цялостта на twitch.tv, като историята на ангажиментите се връща към ранното й начало

  • Мобилни, настолни и конзолни клиенти на Twitch

  • Отчети за изплащане на създателите от 2019 г.

  • Патентовани SDK и вътрешни AWS услуги, използвани от Twitch

  • Всеки друг имот, който Twitch притежава, включително IGDB и CurseForge

  • Неиздаван конкурент на Steam с кодово име Vapor от Amazon Game Studios

  • Twitch SOC вътрешни червени инструменти за екипиране

Хакерът, който се нарече „Анонимен“ в дискусионна дъска с 4 канала, заяви, че общността на Twitch е „отвратителна токсична яма, така че за да насърчим повече смущения и конкуренция в пространството за онлайн стрийминг на видео, ние сме ги опровергали напълно, а в част първа, освобождават изходния код от почти 6000 вътрешни Git хранилища. “

“Джеф Бесос плати 970 милиона долара за това, ние го раздаваме БЕЗПЛАТНО. #DoBetterTwitch”, добави хакерът.

Цифрови сенки

Twitch и Amazon, която е собственик на компанията, не отговориха на исканията за коментар.

Twitch е един от най -големият игрови платформи в света, средно 15 милиона ежедневни потребители и повече от 2 милиона създатели на Twitch излъчват месечно.

Повече от 18 милиарда часа видеоклипове на Twitch бяха излъчени през 2020 г.

#DoBetterTwitch е в тенденция от седмици, тъй като платформата се сблъсква с реакция за допускане на „набези на омраза“ – където секциите за коментари на малцинствени геймъри са затрупани от клевети и злоупотреби. Twitch беше принуден да реши проблема в нишка в Twitter през август и обещаха да направят повече за расовото насилие.

“Това не е общността, която искаме в Twitch и искаме да знаете, че работим усилено, за да направим Twitch по -безопасно място за създателите. Спам атаките от омраза са резултат от силно мотивирани лоши актьори и нямат просто решение, “, Каза Туич. „Вашите доклади ни помогнаха да предприемем действия-ние непрекъснато актуализирахме забранените ни в целия сайт филтри за думи, за да предотвратим вариации на омразните клевети и премахване на ботове, когато бъдат идентифицирани.“

Думите не помогнаха на гнева и гнева организира протест миналия месец, бойкотирайки сайта за 24 часа поради бездействието на компанията при „набези на омраза“.

Обществената реакция на изтичането се фокусира върху огромни приходи на популярни геймъри – които достигнаха милиони за някои. В интервю за BBC News, Fortnite стример BBG Calc потвърдено че печалбите му в изтичането са правилни и други високо печелещи го подкрепят.

В хака беше пуснато и значително количество бизнес информация от Amazon, включително плановете на компанията за конкурент на игралната платформа Steam, наречена Vapor.

Други изразиха сериозни опасения относно сигурността на платформата и многото банкови сметки, свързани с нея.

Главният изпълнителен директор на SocialProof Security Рейчъл Тобак предупреди стримерите, за да гарантират, че техните финансови услуги имат най -силните налични МФП, тъй като сега те ще бъдат мишена за други хакери и измамници.

„За стриймъри с изтекли данни за изплащане, това включва Venmo, CashApp, Bank и т.н. Ако хардуерно базирана MFA е опция, преминете към това до края на деня (въпреки че много банки все още не предлагат опции за ключ за сигурност). Ако ключът за сигурност не е опция, преминете към МФА, базирана на приложения, а не на базата на SMS “, пише Тобак.

“Предполага се, че натрапниците са изтекли вътрешни инструменти на Червен екип и модели на заплахи – брутално. Ако е вярно, това вероятно ще включва фишинг примамки, за които е известно, че са успешни срещу служителите на Twitch, хакерската книга. Ако работите в Twitch, бъдете учтиво параноични по отношение на съобщения, искания и т.н. “

Изследователят на F-Secure Ярно Нимела каза, че хешовете на паролите са изтекли, така че всички потребители трябва да променят паролите си и да използват 2FA, ако вече не го правят.

„Но тъй като нападателят посочи, че все още не е публикувал цялата информация, която има, всеки, който е бил потребител на Twitch, трябва да прегледа цялата информация, която е предоставил на Twitch, и да види дали има някакви предпазни мерки, които трябва да предприеме, за да бъде поверителна информацията не е изтекла “, добави Нимела.

Всички мерки за сигурност на червения екип на Twitch вече са широко достъпни и предоставят на хакерите неизказана информация за това как да нахлуят в компанията и свързаните с нея, добави тя.

Сред изтеклите файлове експертите бяха съсредоточени върху папките „основни конфигурационни пакети“, „devtools“ (инструменти за разработчици) „infosec“ (информационна сигурност).

Джеймс Чапел, съосновател на Digital Shadows, заяви, че едно от вътрешните хранилища на GitchHub на Twitch е откраднато при атаката.

Изтеклите данни бяха достъпни чрез торенти, споделени като магнитни връзки. Наборът от данни изглежда изчерпателен. Той също е обозначен като „част 1“, което предполага, че предстои още. Въпреки че изглежда, че потребителските данни в момента не са в архива, потребителите във форума спекулират какво може да последва “, каза Чапел.

„Изглежда има доказателства, че оригиналните файлове са дошли от вътрешен сървър на GitHub, git-aws.internal.justin.tv, поне са част от нарушението. Justin.tv беше името на компания, която в крайна сметка се трансформира в Twitch. Той беше ребрандиран като twitch през 2011 г. – така че това изглежда като дългогодишна част от инфраструктурата. “

Експерти по сигурността като изпълнителния директор на ThreatModeler Арчи Агарвал описаха хака като „толкова лош, колкото би могъл да бъде“ и поставиха под въпрос как някой е успял да ексфилтрира 128 GB „от най -чувствителните данни, които може да си представи, без да задейства нито една аларма“.



Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com


Сподели
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •