Twitch has just issued an update after yesterday’s major attack on the service, which resulted in the theft and then public posting of, among other things, the platform’s source code. According to their ongoing investigation, a “a malicious third party” is responsible. (via)
Im Verlauf des gestrigen Tages hat eine aktuell noch unbekannte Person eine gewaltige Menge von internen Daten der Plattform Twitch im Internet geleakt. In der Nacht von heute auf gestern gab es nun endlich eine offizielle Stellungnahme von Twitch, die die Situation rund um das Leak thematisiert. Auch wenn diese Aussage etwas kurz gefasst ist, so liefert sie Nutzern aber dennoch einige nützliche Informationen.
Erst einmal bestätigt Twitch offiziell, dass dieses Leak tatsächlich echt ist und ein Hacker eine Schwachstelle ihrer Servereinstellungen ausnutzen konnte. Diese Bestätigung ist wichtig, weil die Echtheit der Informationen bisher nicht sichergestellt werden konnte und einige Personen verschiedene Theorien über gefälschte Daten in den Raum warfen. Durch die Aussage von Twitch steht die Echtheit des Leaks jetzt nicht mehr zur Debatte. Ansonsten scheint Twitch das Ausmaß der gestohlenen Daten stark herunterzuspielen, weshalb sie selbst sich auch nicht konkret dazu äußerten, was für Daten tatsächlich gestohlen wurden.
Zumindest geht aus der Stellungnahme von Twitch hervor, dass die wichtigsten Daten ihrer Nutzer scheinbar nicht geleakt wurden. Laut Twitch gibt es aktuell keine Hinweise auf gestohlene Login-Daten oder gestohlene vollständige Kreditkartennummern. Nutzer der Plattform müssen sich in diesen Punkten also vermutlich recht wenig Sorgen machen. Allerdings kann es natürlich trotzdem nicht schaden, wenn man sein Passwort sicherheitshalber ändert. Eine von Twitch eingeleitete Sicherheitsmaßnahme war wohl eine Zurücksetzung von allen verwendeten Stream-Schlüsseln. Streamer müssen je nach ihrer eingesetzten Software jetzt also möglicherweise ihren Schlüssel neu eingeben und einige Einstellungen in ihren Programmen ändern.
Weitere Aussagen von Twitch werden vermutlich in den nächsten Tagen auf dieser Seite auftauchen.
We have learned that some data was exposed to the internet due to an error in a Twitch server configuration change that was subsequently accessed by a malicious third party. Our teams are working with urgency to investigate the incident.
As the investigation is ongoing, we are still in the process of understanding the impact in detail. We understand that this situation raises concerns, and we want to address some of those here while our investigation continues.
At this time, we have no indication that login credentials have been exposed. We are continuing to investigate.
Additionally, full credit card numbers are not stored by Twitch, so full credit card numbers were not exposed.
Anzeige
S3 + pre-signed URL und niemand bekommt das mit. Wenn man die Dateien entsprechend verschlüsselt kann nicht mal Amazon Macie reingucken ob es sich um irgendwelche PII Datensätze handelt. Ich arbeite viel mit Amazon zusammen und ich denke ich wüsste etwa 1000 verschiedene Wege wie ich 100gb+ Daten nach außen schaffen würde ohne das es jemand schnell genug mitbekommt. Bis jemand auf die GuardDuty Meldung Reagiert ist der Blob schon weg und alles zu spät.
Ich würde jetzt mal raten, ungepatchtes Exchange oder Confluence 🙂 Warum sollte es twitch anders ergehen als dem Rest. Bei den Datenmengen die da exfiltriert wurden, muss man sich aber auch überlegen warum ein CERT/CSIRT das nicht erkannt hat. Exfil Erkennung ist zwar generell schwierig, aber so rießige Datenmengen müssen auffallen. Selbst über langsame Protokolle.
ja
Jep, genau das denke ich mir auch. Selbst wenn der Täter eine 10GBit/s Standleitung zu den Systemen hatte: Die Daten wurden doch bestimmt aggregiert. Die reine I/O Last die da erzeugt wurde, muss doch in jedem halbwegs brauchbarem Monitoring sofort aufblinken.
Ich tippe mal auf „Kostenoptimierung“
Würde mich nicht wunder, wenn das bei einer „data-driven“ Company wie Twitch mit relativ vielen remote devs quasi unmöglich ist. Wie willst du unterscheiden, ob ein neuer Dev gerade ein paar Repos auscheckt, jemand neue Hardware bekommen hat, die Finanzdaten in ein Dashboard pumpt oder eine „Third Party“ deinen Code ausleitet. Jede Erkennung/Monitoring würde hier entweder alle 10 Minuten alerten oder halt nutzlos sein.
Und wundert mich jetzt irgendwie nicht, dass bei 120GB an Code inkl. Git-History da auch Secrets usw. mit dabei sind, die Zugriff auf die Finanzdaten ermöglichen. Ich will gar nicht wissen, was da noch an Zugängen drin lag… mit den AWS Ressourcen hinter Twitch könnte man sicherlich ein nettes Botnet betreiben.
Deswegen ist Exfil Detection schwierig. Ist jetzt die Frage obs ein „Leak“ war, also Interner Angreifer – oder tatsächlich ein Hack. Deswegen zur Definition „Exfiltration“: Daten aus dem Unternehmensnetzwerk schleusen, auf einem Weg der nicht intern (VPN) genutzt wird. Das heisst in der Regel, das jegliche Daten aus dem Unternehmensnetz ins Internet über einen HTTP-Proxy laufen über wenige definierte Internet-Breakout Points. Das gibt dem Angreifer ein paar Möglichkeiten: HTTP-Proxy, DNS (extrem langsam).
Aber ja, du hast schon recht – der Grund warum ale Data Leakage Prevention Systeme i.d.R. Müll sind. Kommt mir dann abre echt auf den exfil Weg an.
Lol als ob twitch diese Technologien verwendet 😅 confluence ist nen Wiki und exchange wird doch nicht bei solchen Datenbanken verwendet 😅
Es geht um den Einstiegspunkt (Kill-Chain). Twitch ist eine Software Firma mit Entwicklern und Mitarbeitern, natürlich verwenden die Confluence, Jira, Exchange mit ansich 99% Wahrscheinlichkeit. Oder denkst du twitch als Firma verwendet noch Fax um zu kommunizieren 😉
Nur weil du nen toller Hecht bist und 3 völlige randome Dinge nennen kannst, wie gesagt, eine Wiki Software, ein Projektmanagement Tool und ein Email Server 😀
Da gibts safe nur diese drei, nix anderes …. (hust aws services (AMAZON Twitch) …
Ich sage, die verwenden kein Fax, die verwenden weit aus größere Kaliber als du gerade in der Uni durch nimmst 😛 Das machen selbst kleinere Unternehmen.
Und überhaut die größte Schwachstelle ist meist der Mensch nicht die Software.
Bro, was hat AWS als IAAS-Service mit der Software zu tun die darauf läuft? Stell dir vor, Atlassian bietet ihre Software auch für die Cloud an. Gibt sogar Jira as a Service, für AWS. Man wills nicht glauben, wahnsinn.
Das ist genauso zu sagen wie, kA – Mozilla verwendet kein Git(lab/hub) weil es ist Mozilla. Ok stimmt, Mozilla verwendet hg. Aber deine Aussage ist schlichtweg einfach nur lächerlich.
Ach und übrigens: https://www.quora.com/What-scrum-project-management-tool-does-Amazon-use
Ist keine verlässliche quelle, aber trifft ungefähr das was ich in jedem Unternehmen bisher gesehen habe. Nenn wir meinen grund warum Amazon nicht marktübliche Tools verwendet, außre „ist amazon“.