查看原文
其他

Twitch:在数据泄露中没有使用密码

GoUpSec 2022-11-18

点击蓝字 关注我们            ///

@GoUpSec



本月早些时候,世界上最大的游戏平台之一发生的大规模泄露事件可能并不像最初想象的那么严重,该公司声称事件中没有泄露任何密码。


在一位匿名用户向4Chan发布了125GB的种子链接后,安全专家严厉批评了亚马逊旗下的Twitch,并声称泄露了该公司拥有的所有数字资产。


然而,在周五的更新中,Twitch声称用户密码没有受到影响。


“我们也相信存储Twitch登录凭证的系统没有被访问,完整的信用卡号或ACH/银行信息也没有被访问,”Twitch补充说。


“暴露的数据主要包含来自Twitch源代码存储库的文档,以及创作者支付数据的子集。我们对暴露的文件中包含的信息进行了彻底审查,并确信它只影响了一小部分用户,对客户的影响很小。我们正在联系那些直接受到影响的人。”


当时,攻击者声称拥有该公司的所有源代码;移动、桌面和控制台客户端;专有软件开发工具包和内部AWS服务;以及它拥有的“所有其他财产”,包括IGDB、CurseForge和一个未发布的Steam竞争对手,被称为“Vapor”。


据报道,Twitch的SecOps功能使用的红队工具以及该公司为其最受欢迎的主播支付了多少费用的信息也受到了影响。


这促使一些人争辩说,从信息安全的角度来看,这起事件“很糟糕”。其他人则目瞪口呆,一个人竟然窃取了如此多的敏感信息,而不会触发任何内部警报。


尽管似乎只有少数用户受到了该事件的影响,但IP泄露的规模仍然表明Twitch的安全状况不符合标准。 


据Twitch称,未经授权的第三方能够在服务器配置错误后访问数据。


END




您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存