Videopelien suoratoistopalvelu Twitch joutui hakkereiden hampaisiin – muun muassa lähdekoodit ja maksutapahtumat vuodettu

Diizzel

Ylläpidon jäsen
Liittynyt
29.10.2016
Viestejä
2 233
Twitch-061021.jpg


Diizzel kirjoitti uutisen/artikkelin:
Anonyymi hakkeri väittää vuotaneensa koko Twitch-palvelun mukaan lukien sen lähdekoodit ja käyttäjille maksetut maksutiedot internettiin 125 gigatavun kokoisena torrent-linkkinä. Aiheesta uutisoinut Video Game Chronicles on saanut anonyymina pysyvältä yrityslähteeltä vahvistuksen, että vuodettu data olisi aitoa.

Hakkeriksi ilmoittautunut käyttäjä on jakanut torrent-linkin 4chan-sivustolla tänään keskiviikkona ja vuodon tarkoituksena on hakkerin mukaan vapaasti suomentaen lisätä häiriötä ja kilpailua striimauspalveluissa, koska Twitchin yhteisö on inhottava ja myrkyllinen.

Video Game Chroniclesin mukaan Twitch on sisäisesti tietoinen asiasta ja uutissivuston lähteen mukaan vuoto olisi tapahtunut niinkin vasta kuin kuluvan viikon maanantaina.

Vuodettuun sisältöön väitetään kuuluvan muun muassa koko Twitchin lähdekoodi, sisällönluojien maksutapahtumat vuodesta 2019 alkaen, mobiili-, työpöytä-, ja konsoliversiot Twitch-sovelluksista, SDK:t ja AWS-palvelut, joita Twitch käyttää ja julkaisematon Amazonin Steam-kilpailija nimeltä Vapor.

Tiedostokattausta läpikäyneiden Twitter-käyttäjien mukaan tiedoissa on mukana myös salattuja salasanoja, minkä myötä Twitch-käyttäjiä suositellaan asettamaan päälle kaksiosainen todennus. Lisäksi näin suuren vuodon yhteydessä kannattavaa voi olla myös kokonaan vaihtaa käytössä oleva salasana.

Päivitys 7.10.2021: Twitch on julkaissut virallisen lausunnon vuodosta. Yrityksen mukaan dataan on päässyt käsiksi kolmas osapuoli Twitchin serveriasetusten muutoksessa tapahtuneen virheen myötä ja yritys jatkaa tilanteen tutkimista aktiivisesti. Twitchin mukaan ainakaan toistaiseksi ei ole merkkejä siitä, että käyttäjien kirjautumistiedot olisi vuodossa mukana, minkä lisäksi yritys vakuuttaa ettei se pidä tallessa käyttäjien täysiä luottokorttitietoja, minkä myötä nekään eivät ole vuodossa vaarantuneet.

Lähde: Video Game Chronicles

Linkki alkuperäiseen juttuun
 
Viimeksi muokattu:
Aivan mahtava logiikka :D
Syytä katsojia, kiusaa sisällöntuottajia.
 
Miten ihmeessä miljardiluokan yrityksellä on nuo kaikki semmoisessa paikassa, että hakkeri pääsee niihin käsiksi??? Kuulostaa näin uutisen perusteella kauhealta tietoturvalta..

Jokainen näistä pitäisi olla omalla tiimillään, ja laskutus/maksutiedot poissa kokonaan yritysverkosta. Varsinkin historia.

Tässä ei kyllä nyt ole noudatettu jotain tietoturvan perusteita edes.
 
Miten ihmeessä miljardiluokan yrityksellä on nuo kaikki semmoisessa paikassa, että hakkeri pääsee niihin käsiksi??? Kuulostaa näin uutisen perusteella kauhealta tietoturvalta..

Jokainen näistä pitäisi olla omalla tiimillään, ja laskutus/maksutiedot poissa kokonaan yritysverkosta. Varsinkin historia.

Tässä ei kyllä nyt ole noudatettu jotain tietoturvan perusteita edes.
No mut hei, puhut pienestä kahden pennin startupista. Pöhinä myy.
 
Miten ihmeessä miljardiluokan yrityksellä on nuo kaikki semmoisessa paikassa, että hakkeri pääsee niihin käsiksi??? Kuulostaa näin uutisen perusteella kauhealta tietoturvalta..

Jokainen näistä pitäisi olla omalla tiimillään, ja laskutus/maksutiedot poissa kokonaan yritysverkosta. Varsinkin historia.

Tässä ei kyllä nyt ole noudatettu jotain tietoturvan perusteita edes.
Luulatavasti sorruivat samaan miinaan kuten monet muutkin vastaavan asian kokeneet yritykset. Tietoturvaa ei pidetty merkittävänä, eikä siihen haluttu sijoittaa erityisen paljon rahaa. Joskus nuo säästöt aiheuttavat sitäkin suuremman vahingon.
 
Luulatavasti sorruivat samaan miinaan kuten monet muutkin vastaavan asian kokeneet yritykset. Tietoturvaa ei pidetty merkittävänä, eikä siihen haluttu sijoittaa erityisen paljon rahaa. Joskus nuo säästöt aiheuttavat sitäkin suuremman vahingon.
Jotenkin en yhtään ihmettelisi jos paljastuisi, että vuodon takana onkin joku entinen työntekijä.
 
Katsojat ja striimaajat todennäköisesti pysyvät yhä Twitchin käyttäjinä. Vaikka olisi esim. asiakkaiden henkilötiedoista lähtien kaikki eetterissä, niin Amazonille tuskin koituu kummoista taloudellista vahinkoa. Väki silti kuluttaisi yhä kasvavissa määrin tätä Amazonin tuottamaa palvelua?
Ehkä pieni mainehaitta tästä koitui, mutta jos ei vaikuta käyttäjämääriin, niin onko millään mitään merkitystä

Steam-kilpailija nimeltä Vapor.

Nauroin ääneen tätä steam vaporia :-)
Mielikuvitusta on selvästi käytetty...
 
Miten ihmeessä miljardiluokan yrityksellä on nuo kaikki semmoisessa paikassa, että hakkeri pääsee niihin käsiksi??? Kuulostaa näin uutisen perusteella kauhealta tietoturvalta..

Jokainen näistä pitäisi olla omalla tiimillään, ja laskutus/maksutiedot poissa kokonaan yritysverkosta. Varsinkin historia.

Tässä ei kyllä nyt ole noudatettu jotain tietoturvan perusteita edes.

No tästähän ei ole vielä tietoa että miten näihin on päästy käsiksi vai onko joku tosiaan vain keräillyt aineistot mukaan kun lähti ovesta ulos uuteen työpaikkaan. Jos pääsee toimimaan firman sisällä niin social engineering tulee huomattavasti helpommaksi sekin.

Että en nyt ennen kunnon raporttia aiheesta alkaisi kovin tarkkaan arvioimaan minkälaisia tietoturvatoimia tällä nyt on sitten lopulta kierretty.

Tietoturvaa ei myöskäään varsinaisesti osteta rahalla, että sinänsä sama vuotojen suhteen onko firmalla kymppi vai kymmenen miljardia tilillä.
 
Tietoturvaa ei myöskäään varsinaisesti osteta rahalla, että sinänsä sama vuotojen suhteen onko firmalla kymppi vai kymmenen miljardia tilillä.

Tästä voi ainakin 1-3 Suomalaista firmaa olla eri mieltä. F-Securen Mikko Hyppönen etunenässä:

Tuosta kannattaa lukea, että yrittävät ainakin puuttua siihen heikoimpaan linkkiin - ihmiselementtiin.
 
Niin. Eli vaikka kuinka paljon on rahaa niin yksi ihminen voi nollata koko tietoturvan. Tätä juuri tarkoitin.

Itse tarkoitin enemmänkin, että rahalla voi ostaa Mikko Hyppösen laittamaan firman tietoturvan kuntoon, mutta et ole väärässä tuossa. Uskoisin kuitenkin, että pätevä tietoturvapolitiikka olisi tässä(kin) tapauksessa minimoinut vahingot. Ei ole mitään syytä, miksi yksi ihminen pääsisi firman sisällä tuohon kaikkeen tietoon.
 
Vähän haiskahtas siltä että päästy AWS puolen admin tiliin käsiksi kun noin laaja kirjo sontaa vuodettu.
 
Ei ole vielä edes varmaan onko twitchiä hakkeroitu ja jos on niin miten.

Tosin n. 10v softa ja konsultti kokemuksen pohjalta en ole koskaan nähnyt isoa firmaa missä tietoturva olisi oikeasti kovalla tasolla. Yleensä on tehty vain aivan bare minimum ja korkeintaan hankittu aivan vitun turhia 3rd party rahastajan järjestämiä ”koulutuksia”.

Mm eräässä Fortune 500 luksuskorufirmassa passailtiin menemään tuotantoserverien ssh avaimia koko organisaation chatin pääkanavalla jossa on tuhansia ihmisiä. Työntekijöitä, konsultteja, vanhoja työntekijöitä jne.

Ainoastaan pankeissa, asevoimissa yms. tietoturva otetaan vakavasti. Muualla vain pyritään pitämään huoli ”ettei ole minun syy” kun kakka lopulta lentää tuulettimeen.
 
Tuo tietoturva ei useinkaan ihmisten kanssa ole niin helppoa. Eräässä isossa firmassa luovuttiin mm. Windowsin salasanan vaihto pakosta tietyin välein ku IT vuosien jälkeen huomasi että henkilökunnalla oli monella salasana kirjoitettu johonkin postit lappuun pöydällä kun sitä pakosta pitkää ja vaikeaa salasanaa joka tietyin välein piti vaihtaa ei muuten muistanut.
 
Miten ihmeessä miljardiluokan yrityksellä on nuo kaikki semmoisessa paikassa, että hakkeri pääsee niihin käsiksi??? Kuulostaa näin uutisen perusteella kauhealta tietoturvalta..

Kyllähän tietovuodoissa silloin tällöin on myös plain text -salasanoja vuotanut vaikka suositeltu käytäntö on yli 30 vuotta ollut ettei niitä tulisi ikinä tallentaa. On lähinnä hölmöä uskoa, että missään firmassa olisi tietoturva tehty oikein millään osa-alueella.
 
Miten ihmeessä miljardiluokan yrityksellä on nuo kaikki semmoisessa paikassa, että hakkeri pääsee niihin käsiksi??? Kuulostaa näin uutisen perusteella kauhealta tietoturvalta..

Jokainen näistä pitäisi olla omalla tiimillään, ja laskutus/maksutiedot poissa kokonaan yritysverkosta. Varsinkin historia.

Tässä ei kyllä nyt ole noudatettu jotain tietoturvan perusteita edes.
Tosin miksi jotkut lähdekoodit ja striimaajien palkkioraportit olisi samassa paikassa.

Enemmän vaikuttaa, että joku olisi kerännyt tavaraa pidemmältä ajalta ja sitten työsuhteen päättyessä laittanut koko paketin nettiin.
 
Tuo tietoturva ei useinkaan ihmisten kanssa ole niin helppoa. Eräässä isossa firmassa luovuttiin mm. Windowsin salasanan vaihto pakosta tietyin välein ku IT vuosien jälkeen huomasi että henkilökunnalla oli monella salasana kirjoitettu johonkin postit lappuun pöydällä kun sitä pakosta pitkää ja vaikeaa salasanaa joka tietyin välein piti vaihtaa ei muuten muistanut.
Noista salasanan vaihtopakoista on muutenkin ruvettu luopumaan, mm. mainitsemasi syyn takia. Esimerkiksi Microsoftin suositukset salasanakäytännöille: Password policy recommendations - Microsoft 365 admin
 
Ei kai Twitchin kokoisella palvelulla ole salasanoja tallessa salattuina? Salauksen sijaan nimittäin tiivisteet ovat salasanojen tallennuksessa oikea toimintatapa, ja minkään - saati Twitchin kokoisen palvelun - ei pitäisi tallentaa salasanoja salattuina ilman painavaa syytä. Myös lähdeartikkelissa puhutaan salauksesta, mutta onkohan kyse sittenkin oikeasti tiivisteistä?

Joka tapauksessa jos kyse on varmasti nimenomaan salatuista salasanoista, itse kullakin kannattaisi olla varmuuden vuoksi aika kova kiire vaihtaa salasana kaikkiin palveluihin, joissa on ollut käytössä sama salasana kuin Twitchissä. Salauksen nimittäin pystyy purkamaan helposti, jos salausavainkin sattuu olemaan hallussa (ja juuri siksi salasanoja ei pidä lähtökohtaisesti salata, vaan laskea niille tiivisteet).
 
Twitch on julkaissut virallisen lausunnon tapauksesta. Syyksi vuotoon on ilmoitettu serveriasetusten muutoksen yhteydessä tapahtunut virhe, minkä myötä kolmas osapuoli on päässy käsiksi tietoihin. Yhtiön mukaan kirjautumistietojen vuodosta ei ole ainakaan toistaiseksi merkkejä. Myös luottokorttitiedot ovat yrityksen mukaan turvassa, sillä Twitch ei niitä ole käyttäjiltään kokonaisuudessaan säilönyt. Tiedot on päivitetty myös uutiseen.

 
Aika hurjaa. Mä olen tuolla ollut kirjautuneena vuosikaudet, koska se login ei vanhene. (eikä tämä siis mikään huono juttu) Mutta kun eilen menin varmuuden vuoksi vaihtamaan salasanaa, ei tuolla Twitchissä ollut mitään hitustakaan vinkkiä mistään massiivisesta tietovuodosta.

Mä ihmettelin että jos täällä asiasta uutisoidaan jo päivällä niin mitä hemmettiä ne tuolla duunaa kun myöhään illallakaan ei ollut mitään mainitaa mistään.

Ei kai Twitchin kokoisella palvelulla ole salasanoja tallessa salattuina? Salauksen sijaan nimittäin tiivisteet ovat salasanojen tallennuksessa oikea toimintatapa, ja minkään - saati Twitchin kokoisen palvelun - ei pitäisi tallentaa salasanoja salattuina ilman painavaa syytä. Myös lähdeartikkelissa puhutaan salauksesta, mutta onkohan kyse sittenkin oikeasti tiivisteistä?

Joka tapauksessa jos kyse on varmasti nimenomaan salatuista salasanoista, itse kullakin kannattaisi olla varmuuden vuoksi aika kova kiire vaihtaa salasana kaikkiin palveluihin, joissa on ollut käytössä sama salasana kuin Twitchissä. Salauksen nimittäin pystyy purkamaan helposti, jos salausavainkin sattuu olemaan hallussa (ja juuri siksi salasanoja ei pidä lähtökohtaisesti salata, vaan laskea niille tiivisteet).

Niin just tuon kokoisella systeemillä niiden tiivisteiden pitäisi olla myös suolattu joten niiden tiivisteiden vuotaminen pitäisi olla aika evvk. Mutta sehän just on hienoa ettei me koskaan oikein voida tietää ennenkuin ne tiivisteet vuotaa ja me voidaan tarkistaa löytyykö sieltä "password" jne.


Sinänsä noi salasanat on silti aika evvk, tässä tapauksessa. Jos mahdollisesti jonkun monelle melko joutavan(ei tietenkään näille streamaajille jotka saavat rahaa tuolta) palvelun salasana on mahdollisesti vuotanut, niin sen kun vaihtaa sen ja jatkaa elämäänsä. Jos käyttää samaa salasanaa ympäriinsä niin se itsessään on suurempi ongelma, kuin että se joskus silloin tällöin vuotaa.

Vähän mielenkiintoisempaa on että miten on onnistuttu saamaan noin paljon ilmeisen arvokasta dataa haalittua.
 
Älä koskaan syytä pahansuopuutta kun typeryyskin kelpaa vastaukseksi, vai miten se nyt meni.

Melkosta töpeksintää mutta sinänsähän tässä nyt selvisi että suojauksia ei murrettu heikkouden takia vaan koska ne laskettiin itse alas :kahvi:
 
Sinänsä noi salasanat on silti aika evvk, tässä tapauksessa. Jos mahdollisesti jonkun monelle melko joutavan(ei tietenkään näille streamaajille jotka saavat rahaa tuolta) palvelun salasana on mahdollisesti vuotanut, niin sen kun vaihtaa sen ja jatkaa elämäänsä. Jos käyttää samaa salasanaa ympäriinsä niin se itsessään on suurempi ongelma, kuin että se joskus silloin tällöin vuotaa.
Juuh sama diipadaapa salasana mulla tuolla oli kun tälläkin forumilla :)
 
Aika hurjaa. Mä olen tuolla ollut kirjautuneena vuosikaudet, koska se login ei vanhene.

Ainakin 2FA:n aktivoitua tuolla on jo vuosikaudet pitänyt valita, vanheneeko kirjautuminen heti session jälkeen vai muistetaanko laite 30 pv ajan.
 
Käsittämätöntä tuhnuilua monestakin näkökulmasta...Millä oikeuksilla nuo kaikki on saatu ja miksi edes nuo kaikki datat ovet olleet samassa paikkaa/samalla serverillä ylipäänsä :D
 

Statistiikka

Viestiketjuista
258 639
Viestejä
4 494 460
Jäsenet
74 265
Uusin jäsen
Oranta

Hinta.fi

Back
Ylös Bottom