Massiver Daten-Leak! Twitch-Hack: Wurden Sicherheitsprobleme nicht ernst genommen? [UPDATE]

Nach der großen Datenpanne von Twitch haben mehrere ehemalige Mitarbeiter schwere Vorwürfe in puncto Sicherheit ausgestellt. So sollen Sicherheitsfragen in der Vergangenheit sträflich vernachlässigt geworden sein.

Diese Woche war bestimmt nicht die beste für Twitch! Bereits am Mittwoch behauptete ein anonymer Hacker, dass er den Quellcode und Informationen, wie viel Geld das Unternehmen seit August 2019 an Streamer gezahlt hat, im Besitz hat. Demnach haben 81 Streamer die letzten 2 Jahre mehr als 1 Million US-Dollar verdient.

Unter den Top 20 findet sich auch ein Deutscher, MontanaBlack 88. Laut dem Twitter-Beitrag von “KnowSomething” hat Monte knappe 2,4 Millionen US-Dollar seit August 2019 von Twitch überwiesen bekommen. Ein weiterer deutscher Streamer, TheRealKnossi, immerhin 2,15 Millionen US-Dollar.

The gross payouts of the top 100 highest-paid Twitch streamers from August 2019 until October 2021: pic.twitter.com/3Lj9pb2aBl

— KnowSomething (@KnowS0mething) October 6, 2021

Twitch bestätigt Daten-Leck

Das Amazon-Unternehmen Twitch hat seitdem bestätigt, dass ein “Verstoß stattgefunden hat”. Derzeit arbeitet man daran den Ausmaß des Lecks zu verstehen.

Gegenüber The Verge behaupten mehrere ehemalige Mitarbeiter, das Unternehmen haben nicht genug getan, um Sicherheitswarnungen zu beheben. Laut der Quelle von The Verge wurden “Sicherheitsprobleme nicht offengelegt”, wie jener in 2017. Damals konnten Hacker auf Accounts von Streamern zugreifen. Das führte dazu, dass Twitch-Konten mit kompromittierten Amazon-Konten verknüpft wurden.

Die Datenschutzverletzung ist auf einen Fehler in einer Serverkonfiguration zurückzuführen, wie die Quellen sagen.

Was wusste das Management?

Eine Quelle, die mit The Verge unter der Bedingung der Anonymität sprach, arbeitete von 2017 bis 2019 bei Twitch. Sie beschrieb eine Atmosphäre, in der die Mitarbeiter sehr um die Sicherheit besorgt waren, das Management jedoch weniger.

„Es würde ständig Fragen und Unzufriedenheit über die regelmäßigen Misserfolge bei der Moderation geben“, sagt die Quelle und erklärt, dass das Management auf diese Unzufriedenheit „sehr langsam“ reagieren würde.

Die Quelle charakterisiert Twitch als einen Ort, an dem es in erster Linie um das Endergebnis geht. Wenn es keine Einnahmen dabei rausschauen, wurde es nicht so ernst genommen.

Erst kürzlich sorgte der Streaming-Dienst von Amazon für schweres Stirnrunzeln als man den “Twitch Boost” vorstellte. Eine Möglichkeit das Zuschauer ihre Lieblingsstreamer mit Geld bewerben.

Keine Passwörter oder Kreditkarten-Informationen preisgegeben

Laut einem kürzlich veröffentlichten Twitch-Blog-Post wurden bei der jüngsten Datenpanne keine Passwörter, Anmeldedaten oder Kreditkarteninformationen preisgegeben, wie Twitch via ihres eigenen Blogs sagte.

“Es wurden keine Twitch-Passwörter veröffentlicht. Wir können außerdem bestätigen, dass nicht auf unsere Systeme zugegriffen wurde, die Twitch-Anmeldedaten speichern (welche mit bcrypt gehasht werden). Es erfolgte auch kein Zugriff auf vollständige Kreditkartennummern oder ACH-/Bankdaten.

Die veröffentlichten Daten setzten sich vor allem aus Dokumenten aus dem Quellcode-Repository von Twitch sowie aus Daten zu Creator-Auszahlungen zusammen. Wir haben die Daten aus den veröffentlichten Dateien einer gründlichen Prüfung unterzogen und sind uns sicher, dass nur eine sehr geringe Zahl von Benutzern betroffen ist. Die Auswirkungen auf Twitch-Kunden sind also minimal. Wir kontaktieren alle, die betroffen sind, auf direktem Weg.”

Twitch hat laut eigenen Aussagen Maßnahmen ergriffen, um den Dienst sicherer zu machen.

Dieser Artikel erschien erstmals am 9. Oktober und wurde mit neuen Inhalten erweitert.