Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 82 reacties
Submitter: Hakker

Twitch, een website waarmee gamers livestreams kunnen delen terwijl ze aan het spelen zijn, is vermoedelijk gehackt. De website waarschuwt leden dat hackers mogelijk 'ongeoorloofde toegang' tot hun account hebben gekregen.

TwitchIn een blogpost waarschuwt Twitch ervoor dat er mogelijk ongeoorloofde toegang heeft plaatsgevonden, maar het bedrijf meldt niet waarom het dat denkt. Het ligt voor de hand dat aanvallers toegang hebben gekregen tot het systeem, maar dat Twitch niet zeker weet of ze ook gegevens van gebruikers buit hebben weten te maken.

Het bedrijf meldt wel dat het uit voorzorg de wachtwoorden en 'stream keys', de sleutels die gebruikers nodig hebben om met software van derden te kunnen streamen, heeft gereset. Gebruikers kunnen nog één keer inloggen met hun wachtwoord, maar daarna moeten ze een nieuw wachtwoord aanmaken. Ook de connecties met Twitter- en YouTube-accounts zijn uit voorzorg ongedaan gemaakt.

Twitch belooft getroffen gebruikers direct te benaderen. Het is onduidelijk of het bedrijf daar al mee begonnen is of dat het nog niet zeker weet of er daadwerkelijk gebruikers zijn getroffen.

Moderatie-faq Wijzig weergave

Reacties (82)

Dit is de mail die ik vannacht heb ontvangen:

"We are writing to let you know that there may have been unauthorized access to some of your Twitch user account information, including possibly your Twitch username and associated email address, your password (which was cryptographically protected), the last IP address you logged in from, and any of the following if you provided it to us: first and last name, phone number, address, and date of birth.

For your protection, we have expired your password and stream keys. In addition, if you had connected your account to Twitter or YouTube, we have terminated this connection.

You will be prompted to create a new password the next time you attempt to log into your Twitch account. If applicable, you will also need to re-connect your account to Twitter and YouTube, and re-authenticate through Facebook, once you change your password. We also recommend that you change your password at any other website where you use the same or a similar password.

We apologize for this inconvenience.

The Twitch Team"
Ik heb zelf ook een mail gehad, maar bij mij staat er nog een extra regel bij de 1e paragraaf:

While we store passwords in a cryptographically protected form, we believe it’s possible that your password could have been captured in clear text by malicious code when you logged into our site on March 3rd.
Dit is inderdaad wel extra informatie, het lijkt er dus op dat hackers toegang hebben gehad tot de servers/webhosting van Twitch en jouw wachtwoord hebben kunnen onderscheppen.. Want normaal gesproken wordt je wachtwoord al client side versleuteld verwacht ik?
Nee over het algemeen is het server side. Wel worden dit soort gegevens vaak over ssl verstuurd, daardoor worden ze dan tot de server wel versleuteld. Maar als code dan op de server staat kan deze het wel nog onderscheppen.
Geven ze nu onbewust toe dat de hack al langer bezig is geweest en dat er mogelijk Cross-site scripting is gebruikt?

[Reactie gewijzigd door mrfu op 24 maart 2015 09:02]

Ik heb dezelfde mail ontvangen. Fijn dat ze meteen aangeven dat het wachtwoord in ieder geval gehasht is. Gelukkig gebruik ik voor iedere website en ander wachtwoord, anders moest ik alsnog overal nieuwe wachtwoorden instellen. Een simpele rainbow table kan al 80% van de wachtwoorden omdraaien. Of zouden ze zo slim zijn geweest om een salt toe te passen? Gezien Twitch nu van Amazon is en Amazon natuurlijk gigantisch veel kennis van cloud computing en dus security zou moeten hebben.
Je mag er vanuit gaan dat elk beetje website dat wel doet
Het zal je nog verbazen dat dit niet altijd het geval is.. Wat ik totaal niet snap, maar goed ze zijn er nog plenty.. Er is iets van een website waar je alle "plain text offenders" kan vinden :P
Wat ik totaal niet snap
Is toch logisch? Niet elke ICT'er heeft genoeg tijd, budget, kennis... Noem maar op.
Je mag er vanuit gaan dat elk beetje website dat wel doet
Dat valt toch nog vies tegen hoor.
Tot je een keer op een subsite van de overheid (BE) een password reset vraagt en een mail krijgt met je vorig wachtwoord in plain-text :P

Gelukkig zit hashing / salting inmiddels wel al wat jaren in de gemiddelde CMS en webshop-software.
We gingen er jammer genoeg vanuit dat Adobe ook "een beetje website" was. En vaak zelfs als het gebeurt gebeurt het met verouderde algoritmes (zoals bij 9Lives).
Eigenlijk geven ze helemaal niet aan dat het paswoord gehashed is, er staat letterlijk in dat het 'cryptographically protected' is. Encryptie is iets helemaal anders dan hashing.
Hashing is niet omkeerbaar (tenzij met rainbow tables). Een encrypted paswoord valt ook te decrypten, waardoor je paswoord toch op straat ligt. Als de hackers toegang hadden tot de servers en de broncode, hebben ze je paswoord dus ook in plain-text.
In een ouder bericht geven ze aan dat ze wachtwoorden hashen: http://blog.twitch.tv/201...ds-and-stream-keys-reset/
Ook toen deden ze een password-reset, zie ik. Da's niet zo best... Twee keer binnen 24 maanden.
the last IP address you logged in from,
Dit is dus echt kut voor mensen die professioneel een game spelen en ook streamen, weer een target voor DDoS aanvallen.
Veel providers maken gebruik van een DHCP systeem, het is dan gewoon simpelweg even op 'release' klikken en je hebt een ander IP adres, als dit niet kan dan gewoon een nacht het modem uitzetten en je hebt de volgende ochtend een nieuw IP.
Veel providers maken anno 2015 gebruik van DHCP? Je bedoelt enkel Ziggo/UPC. Glasvezel en DSL is statisch.
Que? Ziggo is in regel voornamelijk static, neem aan dat een telefoontje of je modem een paar dagen eruit jassen er wel voor zorgt dat je een nieuw IP krijgt. Ik zit persoonlijk op statisch glasvezel, mag hopen dat ik dat kan wijzigen. Deze website (filter op internet) laat wel zien dat veel glasvezel dynamisch is.
die site geeft aan dat er hier geen glasvezel is terwijl de aansluiting in de meterkast zit en ik gewoon me abbo al zowat een jaar kan aanvragen. Dus zo betrouwbaar is dat ook niet ;)
Ik heb de mail ook gehad. Nieuw wachtwoordje dan maar. Alle verbidingen met Youtube e.d. zijn ook gecancelled. Dus dit moeten diegene die dit ingesteld hadden ook weer even opnieuw koppelen.
Heeft iedereen een mailtje gehad of een selectief aantal gebruikers? Ik heb namelijk een mailtje ontvangen betreft ongeoorloofde toegang..
Hier ook zo'n mailtje. Ik ben ook wel benieuwd of dit een universele mail was of een gericht aan de getroffen gebruikers.
Zou inderdaad fijn zijn als ze dit hadden vermeld..
Dit is een universele mail voor alle gebruikers, heel de database is change at next logon.
Ik heb (nog) geen mail mogen ontvangen, dus mogelijk mailen ze in eerste instatie alleen de betrokken accounts.

Update: Heb de mail nu ook gekregen.

[Reactie gewijzigd door Axewi op 24 maart 2015 13:14]

Ik heb een account maar niet de mail gehad. Wel direct een password reset na eerste keer inloggen.
Heb ook een mailtje ontvangen, dacht eerst dat het juist een phishing mailtje was oid, had eem op mijn telefoon geopend en zag er nog al raar uit en text over mijn gegevens en zo (was nog al vroeg toen ik het las, nog niet echt wakker :p).

Maar kan me herinneren dat er ook al een keer eerder zoiets gebeurt was op twitch, weet niet precies wat er toen was gebeurd maar toen werden ook zo opeens allerlei accounts gehackt en zo, was denk ik jaar op 2, misschien 3, geleden. Toen werd ook iedereen aangeraden wachtwoorden te wijzigen.
Hahaha had ik ook. Dacht ook meteen aan phishing. Toen zag ik dit nieuwsbericht. Thuis maar even nieuw wachtwoordje instellen :+ Maar effe serieus, wat kunnen hackers met deze data? Je kan zo een nieuwe streamcode genereren en je donations etc regel je toch extern. Het enige is dat ze wat met die subs kunnen?

(edit: genereren ipv reageren 8)7 )

[Reactie gewijzigd door BastiaanNL op 24 maart 2015 11:03]

Het lijkt eerst naar betrokken accounts te zijn verzonden óf in meerdere rondes. Ze hebben natuurlijk veel gebruikers en willen mischien de mail servers niet al te zwaar belasten. Ik heb het beheer over meerdere accounts en niet ieder betrokken e-mail adres heeft de mail al ontvangen.
Ik heb helemaal geen mailtje gekregen en ik heb ~300 followers..

Het is dus niet de hele userbase die getroffen (waarschijnlijk) is.
Ik heb er 0 en ik heb hem zelfs gekregen. Het aantal followers maakt denk ik niks uit. Gaat meer om het feit of je bent ingelogd geweest op 3 maart.
Gebruik m'n Twitch account al maanden (jaren?) niet meer en kreeg ook gewoon een mail. Lijkt er vooral op dat als je 3 maart inlogde de kans bestaat dat ze je wachtwoord in plain text hebben verkregen.
Ik ben bijna elke dag aan het streamen geweest, vooral op dinsdag 3 maart want elke dinsdag ben ik vrij.

Zelfs nu, 3,5 uur later nog geen mail.
Ik dacht juist dat dit de hack was, mooi nergens op geklikt.
Twitch is inderdaad begonnen met gebruikers direct benaderen maar in de mail die ik kreeg kon je nergens op klikken dus snap niet hoe je denkt dat dit de hack is.
Nee idd, een legitieme mail die juist niet als scam wil over komen zorgt ervoor dat er geen links in hun emails staan.
Je kunt op t Twitch logo klikken
Nou ik kan me dus niet meer inloggen, als ik dat wil doen dat geeft twitch aan dat ik mijn wachtwoord zou moeten aapassen met een door hun verstuurde email.. Deze krijg ik maar niet binnen :(

Net maar even een ticket aangemaakt met de vraag of ze mij kunnen helpen.
Nog meer mensen die dit probleem hebben?
(Ik heb ook nog geen email ontvangen waar jullie over spreken)..
Denk dat ze een paar miljoen gebruikers hebben die allemaal tegelijk hun wachtwoord proberen te resetten - geef het wat tijd.
Ja daar dacht ik ook al aan, maar voor de zekerheid toch maar een ticket aangemaakt.. zou toch ook zonde zijn als er "meer" aan de hand zou zijn met m'n account en k heb voor "niets" geSubt.. ;(
dat dacht ik eerlijk gezegd ook, gister voor het eerst in tijden toevallig mijn stream aangezet, en ondervond ook nogal wat problemen, toch mijn wachtwoord daar nog maar een keer resetten.
Had hier inderdaad gister ook last van, Shadowplay van Nvidia geeft niet aan of de log on succesvol was duurde dus even voordat ik er achter kwam dat ik mijn wachtwoord moest wijzigen.
Met het benaderen van getroffen personen zijn ze al mee begonnen, ik kreeg vanochtend een mailtje erover. Maar volgens mij hebben ze die gewoon naar de hele userbase verstuurd.
We are writing to let you know that there may have been unauthorized access to some of your Twitch user account information, including possibly your Twitch username and associated email address, your password (which was cryptographically protected), the last IP address you logged in from, and any of the following if you provided it to us: first and last name, phone number, address, and date of birth.

For your protection, we have expired your password and stream keys. In addition, if you had connected your account to Twitter or YouTube, we have terminated this connection.

You will be prompted to create a new password the next time you attempt to log into your Twitch account. If applicable, you will also need to re-connect your account to Twitter and YouTube, and re-authenticate through Facebook, once you change your password. We also recommend that you change your password at any other website where you use the same or a similar password.

We apologize for this inconvenience.

The Twitch Team
Dat is het normale mailtje, niet voor de specifiek getroffen mensen (er staat ook 'may have'), deze heb ik zelf 3x gekregen.
Ik heb inderdaad een email gehad voor ons account van Ramteam Gaming, maar de reset email heb ik vooralsnog niet ontvangen. Voordat ik de reset deed, heb ik vanzelfsprekend bekeken of het inderdaad van Twitch.tv kwam (dat bleek zo te zijn). Het wachten is begonnen.

Jammer dat ook Twitch ten doel valt aan scriptpoepers, maar in ieder geval goed dat ze ermee bezig zijn.
Had al reeds een mail gehad afgelopen nacht, dus ja, gebruikers zijn direct benadert.
Twitch belooft getroffen gebruikers direct te benaderen. Het is onduidelijk of het bedrijf daar al mee begonnen is of dat het nog niet zeker weet of er daadwerkelijk gebruikers zijn getroffen.
Daar zijn ze dus al mee begonnen:

http://tweakers.net/ext/f...ZbW/full.png?nohitcount=1

[Reactie gewijzigd door Ragdoll op 24 maart 2015 08:12]

Kijk! Dit zijn mooie voorzorgsmaatregelen! Toppie :)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True