Anonyymi hakkeri väittää vuotaneensa koko Twitch-palvelun mukaan lukien sen lähdekoodit ja käyttäjille maksetut maksutiedot internettiin 125 gigatavun kokoisena torrent-linkkinä. Aiheesta uutisoinut Video Game Chronicles on saanut anonyymina pysyvältä yrityslähteeltä vahvistuksen, että vuodettu data olisi aitoa.
Hakkeriksi ilmoittautunut käyttäjä on jakanut torrent-linkin 4chan-sivustolla tänään keskiviikkona ja vuodon tarkoituksena on hakkerin mukaan vapaasti suomentaen lisätä häiriötä ja kilpailua striimauspalveluissa, koska Twitchin yhteisö on inhottava ja myrkyllinen.
Video Game Chroniclesin mukaan Twitch on sisäisesti tietoinen asiasta ja uutissivuston lähteen mukaan vuoto olisi tapahtunut niinkin vasta kuin kuluvan viikon maanantaina.
Vuodettuun sisältöön väitetään kuuluvan muun muassa koko Twitchin lähdekoodi, sisällönluojien maksutapahtumat vuodesta 2019 alkaen, mobiili-, työpöytä-, ja konsoliversiot Twitch-sovelluksista, SDK:t ja AWS-palvelut, joita Twitch käyttää ja julkaisematon Amazonin Steam-kilpailija nimeltä Vapor.
Tiedostokattausta läpikäyneiden Twitter-käyttäjien mukaan tiedoissa on mukana myös salattuja salasanoja, minkä myötä Twitch-käyttäjiä suositellaan asettamaan päälle kaksiosainen todennus. Lisäksi näin suuren vuodon yhteydessä kannattavaa voi olla myös kokonaan vaihtaa käytössä oleva salasana.
Päivitys 7.10.2021: Twitch on julkaissut virallisen lausunnon vuodosta. Yrityksen mukaan dataan on päässyt käsiksi kolmas osapuoli Twitchin serveriasetusten muutoksessa tapahtuneen virheen myötä ja yritys jatkaa tilanteen tutkimista aktiivisesti. Twitchin mukaan ainakaan toistaiseksi ei ole merkkejä siitä, että käyttäjien kirjautumistiedot olisi vuodossa mukana, minkä lisäksi yritys vakuuttaa ettei se pidä tallessa käyttäjien täysiä luottokorttitietoja, minkä myötä nekään eivät ole vuodossa vaarantuneet.
Lähde: Video Game Chronicles
Syytä katsojia, kiusaa sisällöntuottajia.
Jokainen näistä pitäisi olla omalla tiimillään, ja laskutus/maksutiedot poissa kokonaan yritysverkosta. Varsinkin historia.
Tässä ei kyllä nyt ole noudatettu jotain tietoturvan perusteita edes.
No mut hei, puhut pienestä kahden pennin startupista. Pöhinä myy.
Luulatavasti sorruivat samaan miinaan kuten monet muutkin vastaavan asian kokeneet yritykset. Tietoturvaa ei pidetty merkittävänä, eikä siihen haluttu sijoittaa erityisen paljon rahaa. Joskus nuo säästöt aiheuttavat sitäkin suuremman vahingon.
Jotenkin en yhtään ihmettelisi jos paljastuisi, että vuodon takana onkin joku entinen työntekijä.
Ehkä pieni mainehaitta tästä koitui, mutta jos ei vaikuta käyttäjämääriin, niin onko millään mitään merkitystä
Nauroin ääneen tätä steam vaporia
Mielikuvitusta on selvästi käytetty…
Hah oikein, ei paljon sympatiaa Twitchille heru.
No tästähän ei ole vielä tietoa että miten näihin on päästy käsiksi vai onko joku tosiaan vain keräillyt aineistot mukaan kun lähti ovesta ulos uuteen työpaikkaan. Jos pääsee toimimaan firman sisällä niin social engineering tulee huomattavasti helpommaksi sekin.
Että en nyt ennen kunnon raporttia aiheesta alkaisi kovin tarkkaan arvioimaan minkälaisia tietoturvatoimia tällä nyt on sitten lopulta kierretty.
Tietoturvaa ei myöskäään varsinaisesti osteta rahalla, että sinänsä sama vuotojen suhteen onko firmalla kymppi vai kymmenen miljardia tilillä.
Tästä voi ainakin 1-3 Suomalaista firmaa olla eri mieltä. F-Securen Mikko Hyppönen etunenässä:
data-unfurl="true" data-result-id="235334" data-url="https://www.is.fi/digitoday/tietoturva/art-2000008308608.html" data-host="www.is.fi" data-pending="false">
class="link link--external fauxBlockLink-blockLink"
target="_blank"
rel="nofollow noopener"
data-proxy-href="">
Mikko Hyppönen esittää firmoissa vieraillessaan pysäyttävän kysymyksen – vastaus on yleensä syvä hämmennys
data-onerror="hide-parent"/>
http://www.is.fi
Tuosta kannattaa lukea, että yrittävät ainakin puuttua siihen heikoimpaan linkkiin – ihmiselementtiin.
Niin. Eli vaikka kuinka paljon on rahaa niin yksi ihminen voi nollata koko tietoturvan. Tätä juuri tarkoitin.
Itse tarkoitin enemmänkin, että rahalla voi ostaa Mikko Hyppösen laittamaan firman tietoturvan kuntoon, mutta et ole väärässä tuossa. Uskoisin kuitenkin, että pätevä tietoturvapolitiikka olisi tässä(kin) tapauksessa minimoinut vahingot. Ei ole mitään syytä, miksi yksi ihminen pääsisi firman sisällä tuohon kaikkeen tietoon.
Vähän haiskahtas siltä että päästy AWS puolen admin tiliin käsiksi kun noin laaja kirjo sontaa vuodettu.
Tosin n. 10v softa ja konsultti kokemuksen pohjalta en ole koskaan nähnyt isoa firmaa missä tietoturva olisi oikeasti kovalla tasolla. Yleensä on tehty vain aivan bare minimum ja korkeintaan hankittu aivan vitun turhia 3rd party rahastajan järjestämiä ”koulutuksia”.
Mm eräässä Fortune 500 luksuskorufirmassa passailtiin menemään tuotantoserverien ssh avaimia koko organisaation chatin pääkanavalla jossa on tuhansia ihmisiä. Työntekijöitä, konsultteja, vanhoja työntekijöitä jne.
Ainoastaan pankeissa, asevoimissa yms. tietoturva otetaan vakavasti. Muualla vain pyritään pitämään huoli ”ettei ole minun syy” kun kakka lopulta lentää tuulettimeen.
Kyllähän tietovuodoissa silloin tällöin on myös plain text -salasanoja vuotanut vaikka suositeltu käytäntö on yli 30 vuotta ollut ettei niitä tulisi ikinä tallentaa. On lähinnä hölmöä uskoa, että missään firmassa olisi tietoturva tehty oikein millään osa-alueella.
Tosin miksi jotkut lähdekoodit ja striimaajien palkkioraportit olisi samassa paikassa.
Enemmän vaikuttaa, että joku olisi kerännyt tavaraa pidemmältä ajalta ja sitten työsuhteen päättyessä koko paketin netin.
Noista salasanan vaihtopakoista on muutenkin ruvettu luopumaan, mm. mainitsemasi syyn takia. Esimerkiksi Microsoftin suositukset salasanakäytännöille: Password policy recommendations – Microsoft 365 admin
Joka tapauksessa jos kyse on varmasti nimenomaan salatuista salasanoista, itse kullakin kannattaisi olla varmuuden vuoksi aika kova kiire vaihtaa salasana kaikkiin palveluihin, joissa on ollut käytössä sama salasana kuin Twitchissä. Salauksen nimittäin pystyy purkamaan helposti, jos salausavainkin sattuu olemaan hallussa (ja juuri siksi salasanoja ei pidä lähtökohtaisesti salata, vaan laskea niille tiivisteet).
Lämpöinen olettama. If you only knew…
Ei tietenkään kaikissa…
data-unfurl="true" data-result-id="235563" data-url="https://blog.twitch.tv/en/2021/10/06/updates-on-the-twitch-security-incident/" data-host="blog.twitch.tv" data-pending="false">
class="link link--external fauxBlockLink-blockLink"
target="_blank"
rel="nofollow noopener"
data-proxy-href="">
Twitch Blog | Updates on the Twitch Security Incident
data-onerror="hide-parent"/>
blog.twitch.tv
Mä ihmettelin että jos täällä asiasta uutisoidaan jo päivällä niin mitä hemmettiä ne tuolla duunaa kun myöhään illallakaan ei ollut mitään mainitaa mistään.
Niin just tuon kokoisella systeemillä niiden tiivisteiden pitäisi olla myös suolattu joten niiden tiivisteiden vuotaminen pitäisi olla aika evvk. Mutta sehän just on hienoa ettei me koskaan oikein voida tietää ennenkuin ne tiivisteet vuotaa ja me voidaan tarkistaa löytyykö sieltä "password" jne.
Sinänsä noi salasanat on silti aika evvk, tässä tapauksessa. Jos mahdollisesti jonkun monelle melko joutavan(ei tietenkään näille streamaajille jotka saavat rahaa tuolta) palvelun salasana on mahdollisesti vuotanut, niin sen kun vaihtaa sen ja jatkaa elämäänsä. Jos käyttää samaa salasanaa ympäriinsä niin se itsessään on suurempi ongelma, kuin että se joskus silloin tällöin vuotaa.
Vähän mielenkiintoisempaa on että miten on onnistuttu saamaan noin paljon ilmeisen arvokasta dataa haalittua.
Melkosta töpeksintää mutta sinänsähän tässä nyt selvisi että suojauksia ei murrettu heikkouden takia vaan koska ne laskettiin itse alas
Juuh sama diipadaapa salasana mulla tuolla oli kun tälläkin forumilla
Ainakin 2FA:n aktivoitua tuolla on jo vuosikaudet pitänyt valita, vanheneeko kirjautuminen heti session jälkeen vai muistetaanko laite 30 pv ajan.
Käsittämätöntä tuhnuilua monestakin näkökulmasta…Millä oikeuksilla nuo kaikki on saatu ja miksi edes nuo kaikki datat ovet olleet samassa paikkaa/samalla serverillä ylipäänsä 😀
Joo mulla ei ole 2FA käytössä juuri missään.
Kommentoi uutista tai artikkelia foorumilla (Kommentointi sivuston puolella toistakseksi pois käytöstä)
Lähetä palautetta / raportoi kirjoitusvirheestä