Twitch: Daten wurden durch fehlerhafte Serverkonfiguration offengelegt
Bei Twitch gabs einen massiven Leak. Quellcode von Werkzeugen, Nutzerdaten und auch die Einnahmen von Streamern sind im Netz. Sind die Daten echt? Ja. Sind die Einnahmen der Streamer, die die Runde machen, ebenfalls richtig angegeben? Nun – zumindest ein befreundeter Streamer meinte zu mir, dass sie in seinem Falle auf den Cent stimmen. Twitch teilt mit, dass die Daten öffentlich im Netz zugänglich waren, da es bei der Serverkonfiguration Fehler gab – und da hat halt jemand in böswilliger Absicht drauf zugreifen können. Es war also kein „Inside Job“, wovon einige auch ausgingen. Die Untersuchungen sind noch nicht abgeschlossen, sodass letzte Details fehlen. Zum jetzigen Zeitpunkt habe man keine Hinweise darauf, dass Anmeldedaten offengelegt wurden. Ebenso speichere man keine vollständigen Kreditkartennummern, sodass diese ebenfalls nicht offengelegt wurden. Dennoch ist es sicherlich ratsam, in solchen Fällen immer das Passwort zu ändern.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Warum war es deshalb kein „Inside Job“? Würde ich als Twitch-Mitarbeiter so etwas planen oder wollen, würde ich doch vermutlich für eine falsche Serverkonfiguration sorgen, damit ein Dritter oder ich selbst von Außen auf die Daten zugreifen kann. Oder habe ich da einen Denkfehler am Morgen?
Da denkst Du ganz richtig, die Tasse Kaffee am Morgen war somit erfolgreich 😉 .
Auch ich hab genau das gleiche gedacht, als ich das „dementi“ gelesen habe – aber so ist es in der Welt der Krisen-Kommunikationsexperten : Als allererstes die grundsätzlichste Annahme, die im Regel der Wahrheit entspricht oder dieser schon sehr nahe kommt, als irrelevant deklarieren bzw. ins Gegenteil umkehren.
Als Jens Span und das RKI Anfang 2020 noch sagten, dass Masken sinnlos sind, hab ich mich nur anhand meiner eigenen Erfahrung in Asien in Zusammenhang mit SARS-Viren und Masken doch stark gewundert – heute tragen wir sie alle, und auch JP & RKI „empfehlen“ diese nun als „sinnvolle Maßnahme“.
Man hatte schlicht und ergreifend einfach damals nicht die Massen am Markt verfügbar, um damit die Bevölkerung auszurüsten – dafür kauften sehr viele Klopapier und Nudeln, wobei ersteres jetzt tatsächlich knapp werden könnte (1,5 Jahre später, aber das ist der Markt)….
Meist ist es halt einfach nur eine Fehlkonfiguration oder eine Lücke (Code Injection in eine Datenbank, per File Upload, etc). Die Ursache wird man im Audit Log nachvollziehen können. Betroffen waren ja nicht nur Subsysteme wie der Git-Server sondern das gesamte interne System. Also auch Orte, wo zBsp Businessdaten liegen. Sowas konfiguriert nicht nur ein Angestellter alleine in Eigenverantwortung.
Deswegen bei solchen Sachen immer 4 Augen Prinzip und bei super kritischen Dingern auch gerne noch mehr.
Und auch regelmäßige Security Audits und Pen Testing durch externe Firmen. Kostet leider alles Geld und Zeit und deswegen macht es fast niemand. Sind aber leider so Dinge die zur IT dazu gehörten …
Habe gerade eine Mail von Twitch bekommen das die Stream Keys zurückgesetzt wurden.
Aber sonst keinerlei weitere Information. Schon ein bisschen schwach.
Zitat:
Out of an abundance of caution, we have reset all stream keys. You can get your new stream key here.
Finde ich aber auch frech. Fände es gut, wenn man nicht nur Behörden, sondern auch Nutzern so etwas offenlegen MÜSSTE nach DSGVO. Oder ist das schon so? Keine Ahnung. Fände es aber nur richtig, wenn man sein Versagen auch umfangreich darstellen müsste und zwar allen, die den Dienst nutzen.
Für mich ist das ein Super-GAU, schlimmer kann es doch eigentlich für ein Unternehmen gar nicht laufen. Ein Großteil der geleakten Daten sind mehr oder weniger bestätigt. Von der Firma erhält man die Info, ja weil wir ja so vorsichtig sind ändern wir mal die Schlüssel? Keinerlei Information das sämtliche relevanten Daten geleakt wurden, quasi das Einkommen aller Streamer offengelegt wurde, obwohl Twitch eigentlich sehr strenge Regeln bzgl. der Einkommen hat? Alles offen und Twitch sagt nichts dazu? Hoffe nur das sie von irgendeiner Seite eine empfindliche Strafe bekommen. Ich weiß gerade nicht ob ich schon einmal ein derartiges Ausmaß in einem Leak gesehen habe.
Ich hoffe nur die ganzen Streamer können und werden Twitch anzeigen. Die Streamer dürfen ja schließlich auch nicht ihr Lohn offenlegen.
Kein Einziger. Haben doch alle schon zu viel Schiss, aus Versehen ihren Bauch oder was weiß ich zu zeigen, was auf den Plattformen getadelt wird. Wie oft ich das schon gehörte habe uhhh da musst du aufpassen, dass ist Twitch, das darfst du hier nicht.