事件概况

总部位于美国的直播平台 Twitch 最近遭受了毁灭性的黑客攻击,被窃取了其源代码等内容。一位“匿名”黑客在 4chan 贴图讨论版上泄露了有关 Twitch 被黑的消息,发布了一个125GB的磁力链接,并直接表达了此举的意图:

Their community is … a disgusting toxic cesspool, so to foster more disruption and competition in the online video streaming space, we have completely pwned them.

他们的社区是……一个令人作呕的有毒污水池,因此为了在在线视频领域带来更多的破坏和竞争,我们完全控制了他们。

在黑客公开消息后,Twitch 正式承认了这一事件。

暴露的数据有哪些

黑客已将数据分成几部分,暂时发布“第一部分”。至于被黑的数据,黑客声称从大约 6000 个内部 Git 仓库中窃取了平台的源代码,从而“完全”窃取了 Twitch。

具体来说,被盗数据包括:

  1. Twitch完整的代码提交记录;
  2. Twitch客户端(移动端,PC端以及控制台);
  3. 内部 AWS 服务和专有 SDK;
  4. Twitch SOC 使用的内部红队工具;
  5. 亚马逊游戏工作室未发布的 Steam 竞争产品;
  6. 自2019年以来付给创作者的财务流水。

有趣的是,卖家还在帖子中使用了“#DoBetterTwitch”标签,表达了对今年早些时候针对平台上表现最好的人的愤怒。

卖家可能会在未来几天内在网上提供更多数据。

Twitch的回应

在上述信息被披露之后,Twitch 通过官方推文确认该事件为“数据泄露”:

twitchstweet

Twitch 在更新中进一步详细说明了该事件,并保证已开始对此事进行调查。

虽然该平台尚未正式分享任何详细信息,但他们确认该事件不会影响客户的密码和信用卡详细信息。如他们的更新中所说:

At this time, we have no indication that login credentials have been exposed. We are continuing to investigate. Additionally, full credit card numbers are not stored by Twitch, so full credit card numbers were not exposed.

目前,我们没有迹象表明登录凭据已被泄露。我们正在继续调查。 此外,Twitch 不会存储完整的信用卡号,因此不会暴露完整的信用卡号。

此外,该平台还为用户重置了密钥,用户可以通过管理面板获取新密钥。在开始流式传输之前,用户需要使用新密钥手动更新软件。但是,Twitch Studio、Streamlabs、Xbox、PlayStation 和 Twitch 移动应用程序用户以及具有关联 Twitch 帐户的 OBS 用户不需要手动激活其密钥。

最后

此次攻击事件之前,Twitch就已经陷入了一些被动的局面,从处理骚扰事件和音乐版权问题,到部分小主播声称Twitch带来的流量曝光不均。自2019年开始,有81位主播从该平台赚到了超过100万美元的收入,而更多的主播几乎没有收入,观众也就十来个人。Twitch要面临的不仅仅是用户的不满,除了给Twitch带来用户流失和商业泄密等影响之外,泄露的源码还将可能带来更多的安全威胁。