Twitch-Hack: Streamer-Auszahlungen und Steam-Konkurrent offenbart
Auf einem Imageboard brüsten sich User damit, das Live-Streaming-Portal Twitch gehackt zu haben. Der via Torrent verteilte, über 125 GB schwere Datensatz sei nur der Anfang. Enthalten sind angeblich der Quellcode der Twitch-Apps, Infos über die Auszahlungen an Streamer sowie Hinweise auf einen Steam-Konkurrenten von Amazon.
Auf dem berühmt berüchtigten Imageboard 4Chan behauptet die anonyme Hackergruppe umfassenden Zugriff auf interne Daten von Twitch erlangt zu haben. Der zum Download bereitgestellte Datensatz sei nur ein erster Teil dessen und umfasse den Quellcode von fast 6.000 internen Git-Repositories. Neben dem vollständigen Code von Twitch.tv und den zugehörigen Apps sollen auch Auszahlungsberichte an Streamer sowie Hinweise auf einen noch nicht veröffentlichten Steam-Konkurrenten von den Amazon Game Studios enthalten sein.
- Entirety of twitch.tv, with commit history going back to its early beginnings
- Mobile, desktop and video game console Twitch clients
- Various proprietary SDKs and internal AWS services used by Twitch
- Every other property that Twitch owns including IGDB and CurseForge
- An unreleased Steam competitor from Amazon Game Studios
- Twitch SOC internal red teaming tools (lol)
AND: Creator payout reports from 2019 until now.
Anonyme Gruppe zum Umfang des Twitch-Hacks
Die Website Video Games Chronicle (VGC) hatte zuerst über den Beitrag der Hacker berichtet. Durch die frei im Internet verfügbaren Daten haben sich zwischenzeitlich verschiedene Twitter-Nutzer wie auch Medienvertreter gewühlt. Die Echtheit der Daten wurde unter anderem von The Verge und heise online inzwischen bestätigt.
Wie VGC weiter schreibt, behaupten die Quellen, dass der Datenraub diesen Montag erfolgte und Twitch der Vorfall bekannt sei. Zur Stunde gibt es aber keine öffentliche Stellungnahme der Amazon-Tochter.
Auszahlungen an Streamer offengelegt
Besonderes Aufsehen erlangen die Informationen zur Höhe der Auszahlungen von Twitch an Streamer. Der Ordner „twitch_payouts“ fasse allein 5 GB an Auszahlungsdaten im Zeitraum August 2019 bis heute, schreibt heise online. Auf Twitter wurden bereits auf Basis der Informationen Ranglisten für die Auszahlungen an populäre Streamer erstellt. Demnach führt der für seine gleichnamige Webserie bekannte Twitch-Kanal CriticalRole die Liste mit Auszahlungen in Höhe von über 9,6 Millionen US-Dollar an. Der deutsch-türkische Livestreamer MontanaBlack88 liegt mit knapp 2,4 Millionen US-Dollar auf Rang 17.
Hinweise auf Steam-Konkurrent „Vapor“
Der Datensatz enthalte auch Hinweise auf Pläne der Amazon Game Studios für eine Plattform zum digitalen Vertrieb von Videospielen, die als Konkurrenz zu Steam unter dem Codenamen „Vapor“ entwickelt werde.
User sollten Passwort ändern
Da potenziell auch User-Accounts von dem Hack betroffen sein könnten, wird empfohlen, das Passwort für den eigenen Twitch-Account zu ändern, sowie für zusätzliche Sicherheit die 2-Faktor-Authentifizierung zu aktivieren. Dafür muss über das User-Menü (Klick auf den eigenen Avatar) zu den Einstellungen und dann zu „Sicherheit und Privatsphäre“ navigiert werden.
Sollten die Hacker immer noch Zugriff haben, könnte ein erneutes Ändern der persönlichen Daten allerdings erforderlich werden.
Die Redaktion dankt den zahlreichen Lesern für die Hinweise zu dieser News.
Inzwischen hat Twitch den Vorfall bestätigt. In einer Stellungnahme im Blog des Unternehmens heißt es, dass durch einen Fehler bei einer Konfigurationsänderung eines Twitch-Servers „einige Daten offengelegt“ wurden, auf die „böswillige Dritte“ zugegriffen haben. Die Untersuchungen dauern an.
Das Twitch-Team erklärt weiter, dass es zur Zeit keine Hinweise darauf gibt, dass auch Anmeldeinformationen enthüllt wurden. Zudem würden keine vollständigen Kreditkarteninformationen gesichert.
Als Vorsichtsmaßnahme hat Twitch die sogenannten Stream Keys zurückgesetzt. Diese werden benötigt, um die eigene Streaming-Software mit dem Twitch-Kanal für eine Liveübertragung zu verbinden. Ein neuer Stream Key kann auf dashboard.twitch.tv/settings/stream angefordert werden. Eventuell muss die Broadcast-Software mit dem neuen Schlüssel aktualisiert werden, schreibt Twitch. Bei Nutzung von Twitch Studio, Streamlabs, Xbox, PlayStation oder der Twitch Mobile App sei kein Eingriff erforderlich. Weitere Infos stehen im aktualisierten Twitch-Blog.
Twitch-Nutzer berichten auf Reddit und auf Twitter, dass für einige Stunden ein Bild von Jeff Bezos als Hintergrundbild (Header) an manchen Stellen auf Twitch zu sehen war.