Хакер #305. Многошаговые SQL-инъекции
СМИ сообщают, что на 4chan опубликовали ссылку на торрент-файл, содержащий почти 130 Гб данных компании Twitch. Неизвестные хакеры слили в открытый доступ исходный код и бизнес-данные платформы.
Злоумышленники пишут, что эта утечка — ответ на недавние «рейды ненависти», скоординированные бот-атаки, наводнившие чаты стримеров ненавистническим и оскорбительным контентом. Минувшим летом эта напасть коснулась многих стримеров платформы.
«Их сообщество [...], это отвратительная и токсичная выгребная яма, поэтому, чтобы стимулировать дальнейший развал и конкуренцию в сфере стриминга видео, мы полностью их поимели, и в первой части дампа публикуем исходный код из почти 6000 внутренних репозиториев Git», — заявляют авторы слива
Журналисты издания The Record пишут, что скачали и уже начали изучать опубликованный торрент. В целом его содержимое совпадает с описанием хакеров:
Twitch.tv полностью, с историей коммитов, уходящей корнями к старту сервиса.
Клиенты Twitch для мобильных и десктопных устройств, а также игровых консолей/
Различные проприетарные SDK и внутренние сервисы AWS, используемые Twitch.
Прочая собственность, которой владеет Twitch, включая IGDB и CurseForge.
Неизданный конкурент Steam от Amazon Game Studios [предполагаемый конкурент Steam от Amazon носит внутреннее название Vapor].
Внутренние инструменты red team Twitch SOC (лол).
А также: отчеты о выплатах авторам за период с 2019 года по настоящее время. Узнайте, сколько на самом деле зарабатывает ваш любимый стример!
Наиболее конфиденциальные данные, обнаруженные журналистами в дампе, представляли собой папки, содержащие информацию о механизмах идентификации и аутентификации пользователей Twitch, административные средствах управления, а также данные внутренней службы безопасности Twitch, включая модели угроз и фото белой доски, где описываются различные части внутренней инфраструктуры Twitch.
Журналисты пишут, что какие-либо личные данные пользователей Twitch пока обнаружить не удалось, зато утечка действительно содержит данные о выплатах для лучших стримеров платформы. Некоторых из них уже подтвердили правдивость этой информации (1, 2, 3, 4).
Twitch has just had a major leak of a lot of stuff including their monthly payouts to streamers.
— KnowSomething (@KnowS0mething) October 6, 2021
Here are some of the notables (note: this total is just their payout directly from twitch, so it doesn't include donations, sponsors, merch, etc.) pic.twitter.com/wDG0JkJuCx
В настоящее время источником утечки считается внутренний сервер Git компании. Так как дамп помечен как «часть первая», очевидно в будущем взломщики планируют опубликовать что-то еще.
Хотя в результате утечки пользовательских данных обнаружено не было, несколько ИБ-исследователей уже призвали пользователей сменить пароли и включить многофакторную аутентификацию для своей учетной записи в качестве меры предосторожности.
Представители компании уже подтвердили факт утечки, однако пока никаких дополнительных подробностей нет.
We can confirm a breach has taken place. Our teams are working with urgency to understand the extent of this. We will update the community as soon as additional information is available. Thank you for bearing with us.
— Twitch (@Twitch) October 6, 2021