因服务器配置不当,热门直播平台 Twitch 的125GB 数据和源代码被泄露
编译:代码卫士
这名泄密者在帖子中指出,“他们的社区也是藏污纳垢之所,所以为了在线视频流空间中造成更多的破坏和竞争,我们彻底入侵,并且在第一阶段发布了近6000个内部 Git 仓库中的源代码。”
这名匿名用户称,被泄露的 Twitch 数据包括:
整个 twitch.tv,其中commit 历史可追溯到早期阶段
移动版、桌面版和视频游戏控制台的 Twitch 客户端
Twitch 使用的多种专有 SDK 和内部 AWS服务
Twitch 拥有的其它财产,包括 IGDB 和 CurseForge
Amazon Game Studios 未发布的 Steam 竞争者
Twitch SOC 内部红队工具
从2019年至今的直播主收入报告
这名匿名发帖人将自己发的消息命名为 “twitch泄露第一部分“,意指未来将发布更多的被盗数据。
Twitch 随后证实称这些被泄露信息属实。该平台指出,由于“Twitch 服务器配置更改中存在的一个错误被恶意第三方访问”,导致“某些数据”暴露在互联网,并表示目前团队正在紧急调查但尚未发现登录凭据遭暴露的证据。
然而,匿名独立研究员指出,在一个被泄露的数据库中发现了以明文形式存储的直播主邮件地址和密码。其它数据库中包含个人数据,如包含1000多份Twitch 向多个平台出具的退款。这些记录包括相关人员的全名、邮件地址、买家评论和金额等。这名研究员指出被泄露的还有后台员工的姓名、邮件地址和职位等。研究员还发现 Twitch 一直在搜刮竞争对手的实时频道和浏览量服务信息。
这次泄露事件可能是因 Twitch 未响应并发布有效工具阻断8月份针对直播主的仇视造成的,这一猜测是从这名匿名用户也使用#DoBetterTwitch 的标签推断得出的。直播主在推特上使用该标签分享了自己的 Twitch 直播聊天中涌入骚扰的僵尸机器人。
Twitch 平台最终承认了这一事实并表示将在今年晚些时候推出账户验证和频道层面的禁令躲避检测工具。该平台表示,“感谢所有人分享了这些困难的体验。我们在主动性过滤器中找到了一个漏洞,并已发布更新解决该问题,并且检测聊天中的仇视言论。“
Git 仓库配置不当 日产北美公司的源代码遭泄露
苹果搜索机器人因代理服务器配置不当泄漏内部 IP
Kramdown 配置不当引发 GitHub Pages 多个 RCE,得 $2.5万($6.1万系列之二)
https://www.bleepingcomputer.com/news/security/massive-twitch-hack-source-code-and-payment-reports-leaked/
https://threatpost.com/twitch-leak-emails-passwords/175390/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。