Twitch kampt mogelijk met hack

Twitch, een website waarmee gamers livestreams kunnen delen terwijl ze aan het spelen zijn, is vermoedelijk gehackt. De website waarschuwt leden dat hackers mogelijk 'ongeoorloofde toegang' tot hun account hebben gekregen.

TwitchIn een blogpost waarschuwt Twitch ervoor dat er mogelijk ongeoorloofde toegang heeft plaatsgevonden, maar het bedrijf meldt niet waarom het dat denkt. Het ligt voor de hand dat aanvallers toegang hebben gekregen tot het systeem, maar dat Twitch niet zeker weet of ze ook gegevens van gebruikers buit hebben weten te maken.

Het bedrijf meldt wel dat het uit voorzorg de wachtwoorden en 'stream keys', de sleutels die gebruikers nodig hebben om met software van derden te kunnen streamen, heeft gereset. Gebruikers kunnen nog één keer inloggen met hun wachtwoord, maar daarna moeten ze een nieuw wachtwoord aanmaken. Ook de connecties met Twitter- en YouTube-accounts zijn uit voorzorg ongedaan gemaakt.

Twitch belooft getroffen gebruikers direct te benaderen. Het is onduidelijk of het bedrijf daar al mee begonnen is of dat het nog niet zeker weet of er daadwerkelijk gebruikers zijn getroffen.

Door Joost Schellevis

Redacteur

Feedback • 24-03-2015 08:05
82 • submitter: Hakker

24-03-2015 • 08:05

82

Submitter: Hakker

Lees meer

Livestream.com roept gebruikers op wachtwoord te wijzigen na hackpoging
Livestream.com roept gebruikers op wachtwoord te wijzigen na hackpoging Nieuws van 23 december 2015
Twitch introduceert two-factor-authenticatie
Twitch introduceert two-factor-authenticatie Nieuws van 10 november 2015
Twitch stapt over van Flash naar html5
Twitch stapt over van Flash naar html5 Nieuws van 23 juli 2015
Twitch start met Whisper-dienst voor privéberichten
Twitch start met Whisper-dienst voor privéberichten Nieuws van 11 juni 2015
Twitch brengt video-on-demand naar mobiele apps
Twitch brengt video-on-demand naar mobiele apps Nieuws van 21 mei 2015
Twitch begint eigen muziekbibliotheek
Twitch begint eigen muziekbibliotheek Nieuws van 15 januari 2015
Valve gaat concurrentie met Twitch aan met Steam Broadcasting
Valve gaat concurrentie met Twitch aan met Steam Broadcasting Nieuws van 3 december 2014
Gesponsorde content moet voortaan herkenbaar zijn op Twitch en Steam
Gesponsorde content moet voortaan herkenbaar zijn op Twitch en Steam Nieuws van 3 oktober 2014
Via Twitch verspreide malware haalt Steam-accounts leeg
Via Twitch verspreide malware haalt Steam-accounts leeg Nieuws van 13 september 2014
Meer producten en artikelen
Websites en community's Netwerk en systeembeheer

Reacties (82)

-Moderatie-faq
82
82
70
2
0
0
Wijzig sortering
Matthias87 24 maart 2015 08:11
Dit is de mail die ik vannacht heb ontvangen:

"We are writing to let you know that there may have been unauthorized access to some of your Twitch user account information, including possibly your Twitch username and associated email address, your password (which was cryptographically protected), the last IP address you logged in from, and any of the following if you provided it to us: first and last name, phone number, address, and date of birth.

For your protection, we have expired your password and stream keys. In addition, if you had connected your account to Twitter or YouTube, we have terminated this connection.

You will be prompted to create a new password the next time you attempt to log into your Twitch account. If applicable, you will also need to re-connect your account to Twitter and YouTube, and re-authenticate through Facebook, once you change your password. We also recommend that you change your password at any other website where you use the same or a similar password.

We apologize for this inconvenience.

The Twitch Team"
Wildy @Matthias8724 maart 2015 08:23
Ik heb zelf ook een mail gehad, maar bij mij staat er nog een extra regel bij de 1e paragraaf:

While we store passwords in a cryptographically protected form, we believe it’s possible that your password could have been captured in clear text by malicious code when you logged into our site on March 3rd.
IceBlackz @Wildy24 maart 2015 08:36
Dit is inderdaad wel extra informatie, het lijkt er dus op dat hackers toegang hebben gehad tot de servers/webhosting van Twitch en jouw wachtwoord hebben kunnen onderscheppen.. Want normaal gesproken wordt je wachtwoord al client side versleuteld verwacht ik?
Verwijderd @IceBlackz24 maart 2015 08:55
Nee over het algemeen is het server side. Wel worden dit soort gegevens vaak over ssl verstuurd, daardoor worden ze dan tot de server wel versleuteld. Maar als code dan op de server staat kan deze het wel nog onderscheppen.
mrfu @Wildy24 maart 2015 08:28
Geven ze nu onbewust toe dat de hack al langer bezig is geweest en dat er mogelijk Cross-site scripting is gebruikt?

[Reactie gewijzigd door mrfu op 22 juli 2024 13:44]

mrfu @Matthias8724 maart 2015 08:23
Ik heb dezelfde mail ontvangen. Fijn dat ze meteen aangeven dat het wachtwoord in ieder geval gehasht is. Gelukkig gebruik ik voor iedere website en ander wachtwoord, anders moest ik alsnog overal nieuwe wachtwoorden instellen. Een simpele rainbow table kan al 80% van de wachtwoorden omdraaien. Of zouden ze zo slim zijn geweest om een salt toe te passen? Gezien Twitch nu van Amazon is en Amazon natuurlijk gigantisch veel kennis van cloud computing en dus security zou moeten hebben.
!mark @mrfu24 maart 2015 08:52
Je mag er vanuit gaan dat elk beetje website dat wel doet
nickelz @!mark24 maart 2015 09:18
Het zal je nog verbazen dat dit niet altijd het geval is.. Wat ik totaal niet snap, maar goed ze zijn er nog plenty.. Er is iets van een website waar je alle "plain text offenders" kan vinden :P
kimborntobewild @nickelz24 maart 2015 19:06
Wat ik totaal niet snap
Is toch logisch? Niet elke ICT'er heeft genoeg tijd, budget, kennis... Noem maar op.
R4gnax @!mark24 maart 2015 09:02
Je mag er vanuit gaan dat elk beetje website dat wel doet
Dat valt toch nog vies tegen hoor.
WhiteDog @!mark24 maart 2015 09:23
Tot je een keer op een subsite van de overheid (BE) een password reset vraagt en een mail krijgt met je vorig wachtwoord in plain-text :P

Gelukkig zit hashing / salting inmiddels wel al wat jaren in de gemiddelde CMS en webshop-software.
RobinJ1995 @!mark24 maart 2015 10:00
We gingen er jammer genoeg vanuit dat Adobe ook "een beetje website" was. En vaak zelfs als het gebeurt gebeurt het met verouderde algoritmes (zoals bij 9Lives).
Slonzo @mrfu24 maart 2015 14:30
Eigenlijk geven ze helemaal niet aan dat het paswoord gehashed is, er staat letterlijk in dat het 'cryptographically protected' is. Encryptie is iets helemaal anders dan hashing.
Hashing is niet omkeerbaar (tenzij met rainbow tables). Een encrypted paswoord valt ook te decrypten, waardoor je paswoord toch op straat ligt. Als de hackers toegang hadden tot de servers en de broncode, hebben ze je paswoord dus ook in plain-text.
JJDN @Slonzo24 maart 2015 16:56
In een ouder bericht geven ze aan dat ze wachtwoorden hashen: http://blog.twitch.tv/201...ds-and-stream-keys-reset/
kimborntobewild @JJDN24 maart 2015 19:09
Ook toen deden ze een password-reset, zie ik. Da's niet zo best... Twee keer binnen 24 maanden.
Verwijderd @Matthias8724 maart 2015 10:36
the last IP address you logged in from,
Dit is dus echt kut voor mensen die professioneel een game spelen en ook streamen, weer een target voor DDoS aanvallen.
Azerion @Verwijderd24 maart 2015 10:51
Veel providers maken gebruik van een DHCP systeem, het is dan gewoon simpelweg even op 'release' klikken en je hebt een ander IP adres, als dit niet kan dan gewoon een nacht het modem uitzetten en je hebt de volgende ochtend een nieuw IP.
Jerie @Azerion24 maart 2015 12:50
Veel providers maken anno 2015 gebruik van DHCP? Je bedoelt enkel Ziggo/UPC. Glasvezel en DSL is statisch.
Verwijderd @Jerie24 maart 2015 16:43
Que? Ziggo is in regel voornamelijk static, neem aan dat een telefoontje of je modem een paar dagen eruit jassen er wel voor zorgt dat je een nieuw IP krijgt. Ik zit persoonlijk op statisch glasvezel, mag hopen dat ik dat kan wijzigen. Deze website (filter op internet) laat wel zien dat veel glasvezel dynamisch is.
aadje93 @Verwijderd25 maart 2015 06:26
die site geeft aan dat er hier geen glasvezel is terwijl de aansluiting in de meterkast zit en ik gewoon me abbo al zowat een jaar kan aanvragen. Dus zo betrouwbaar is dat ook niet ;)
BastiaanNL @Matthias8724 maart 2015 11:01
Ik heb de mail ook gehad. Nieuw wachtwoordje dan maar. Alle verbidingen met Youtube e.d. zijn ook gecancelled. Dus dit moeten diegene die dit ingesteld hadden ook weer even opnieuw koppelen.
Luukwa 24 maart 2015 08:11
Heeft iedereen een mailtje gehad of een selectief aantal gebruikers? Ik heb namelijk een mailtje ontvangen betreft ongeoorloofde toegang..
Tim.k @Luukwa24 maart 2015 08:12
Hier ook zo'n mailtje. Ik ben ook wel benieuwd of dit een universele mail was of een gericht aan de getroffen gebruikers.
Luukwa @Tim.k24 maart 2015 08:13
Zou inderdaad fijn zijn als ze dit hadden vermeld..
steven1191 @Luukwa24 maart 2015 08:15
Dit is een universele mail voor alle gebruikers, heel de database is change at next logon.
Axewi @Luukwa24 maart 2015 08:17
Ik heb (nog) geen mail mogen ontvangen, dus mogelijk mailen ze in eerste instatie alleen de betrokken accounts.

Update: Heb de mail nu ook gekregen.

[Reactie gewijzigd door Axewi op 22 juli 2024 13:44]

Ruvetuve @Luukwa24 maart 2015 08:21
Ik heb een account maar niet de mail gehad. Wel direct een password reset na eerste keer inloggen.
anessie @Ruvetuve24 maart 2015 10:05
idem
SosaNLX @Luukwa24 maart 2015 08:16
Heb ook een mailtje ontvangen, dacht eerst dat het juist een phishing mailtje was oid, had eem op mijn telefoon geopend en zag er nog al raar uit en text over mijn gegevens en zo (was nog al vroeg toen ik het las, nog niet echt wakker :p).

Maar kan me herinneren dat er ook al een keer eerder zoiets gebeurt was op twitch, weet niet precies wat er toen was gebeurd maar toen werden ook zo opeens allerlei accounts gehackt en zo, was denk ik jaar op 2, misschien 3, geleden. Toen werd ook iedereen aangeraden wachtwoorden te wijzigen.
BastiaanNL @SosaNLX24 maart 2015 11:02
Hahaha had ik ook. Dacht ook meteen aan phishing. Toen zag ik dit nieuwsbericht. Thuis maar even nieuw wachtwoordje instellen :+ Maar effe serieus, wat kunnen hackers met deze data? Je kan zo een nieuwe streamcode genereren en je donations etc regel je toch extern. Het enige is dat ze wat met die subs kunnen?

(edit: genereren ipv reageren 8)7 )

[Reactie gewijzigd door BastiaanNL op 22 juli 2024 13:44]

Rabb @Luukwa24 maart 2015 11:17
Het lijkt eerst naar betrokken accounts te zijn verzonden óf in meerdere rondes. Ze hebben natuurlijk veel gebruikers en willen mischien de mail servers niet al te zwaar belasten. Ik heb het beheer over meerdere accounts en niet ieder betrokken e-mail adres heeft de mail al ontvangen.
Zexion @Luukwa24 maart 2015 09:00
Ik heb helemaal geen mailtje gekregen en ik heb ~300 followers..

Het is dus niet de hele userbase die getroffen (waarschijnlijk) is.
Zenety @Zexion24 maart 2015 11:41
Ik heb er 0 en ik heb hem zelfs gekregen. Het aantal followers maakt denk ik niks uit. Gaat meer om het feit of je bent ingelogd geweest op 3 maart.
MeNot2 @Zenety24 maart 2015 14:07
Gebruik m'n Twitch account al maanden (jaren?) niet meer en kreeg ook gewoon een mail. Lijkt er vooral op dat als je 3 maart inlogde de kans bestaat dat ze je wachtwoord in plain text hebben verkregen.
Zexion @Zenety24 maart 2015 12:30
Ik ben bijna elke dag aan het streamen geweest, vooral op dinsdag 3 maart want elke dinsdag ben ik vrij.

Zelfs nu, 3,5 uur later nog geen mail.
Awesomo4k 24 maart 2015 08:08
Ik dacht juist dat dit de hack was, mooi nergens op geklikt.
KingHawk @Awesomo4k24 maart 2015 08:12
Twitch is inderdaad begonnen met gebruikers direct benaderen maar in de mail die ik kreeg kon je nergens op klikken dus snap niet hoe je denkt dat dit de hack is.
YopY @KingHawk24 maart 2015 09:20
Nee idd, een legitieme mail die juist niet als scam wil over komen zorgt ervoor dat er geen links in hun emails staan.
Awesomo4k @YopY24 maart 2015 09:40
Je kunt op t Twitch logo klikken
Verwijderd 24 maart 2015 08:35
Nou ik kan me dus niet meer inloggen, als ik dat wil doen dat geeft twitch aan dat ik mijn wachtwoord zou moeten aapassen met een door hun verstuurde email.. Deze krijg ik maar niet binnen :(

Net maar even een ticket aangemaakt met de vraag of ze mij kunnen helpen.
Nog meer mensen die dit probleem hebben?
(Ik heb ook nog geen email ontvangen waar jullie over spreken)..
YopY @Verwijderd24 maart 2015 09:21
Denk dat ze een paar miljoen gebruikers hebben die allemaal tegelijk hun wachtwoord proberen te resetten - geef het wat tijd.
Verwijderd @YopY24 maart 2015 10:37
Ja daar dacht ik ook al aan, maar voor de zekerheid toch maar een ticket aangemaakt.. zou toch ook zonde zijn als er "meer" aan de hand zou zijn met m'n account en k heb voor "niets" geSubt.. ;(
thijscream 24 maart 2015 08:11
dat dacht ik eerlijk gezegd ook, gister voor het eerst in tijden toevallig mijn stream aangezet, en ondervond ook nogal wat problemen, toch mijn wachtwoord daar nog maar een keer resetten.
Azerion @thijscream24 maart 2015 10:52
Had hier inderdaad gister ook last van, Shadowplay van Nvidia geeft niet aan of de log on succesvol was duurde dus even voordat ik er achter kwam dat ik mijn wachtwoord moest wijzigen.
IceBlackz 24 maart 2015 08:13
Met het benaderen van getroffen personen zijn ze al mee begonnen, ik kreeg vanochtend een mailtje erover. Maar volgens mij hebben ze die gewoon naar de hele userbase verstuurd.
We are writing to let you know that there may have been unauthorized access to some of your Twitch user account information, including possibly your Twitch username and associated email address, your password (which was cryptographically protected), the last IP address you logged in from, and any of the following if you provided it to us: first and last name, phone number, address, and date of birth.

For your protection, we have expired your password and stream keys. In addition, if you had connected your account to Twitter or YouTube, we have terminated this connection.

You will be prompted to create a new password the next time you attempt to log into your Twitch account. If applicable, you will also need to re-connect your account to Twitter and YouTube, and re-authenticate through Facebook, once you change your password. We also recommend that you change your password at any other website where you use the same or a similar password.

We apologize for this inconvenience.

The Twitch Team
SinergyX @IceBlackz24 maart 2015 10:16
Dat is het normale mailtje, niet voor de specifiek getroffen mensen (er staat ook 'may have'), deze heb ik zelf 3x gekregen.
Indifstublatia 24 maart 2015 08:11
Ik heb inderdaad een email gehad voor ons account van Ramteam Gaming, maar de reset email heb ik vooralsnog niet ontvangen. Voordat ik de reset deed, heb ik vanzelfsprekend bekeken of het inderdaad van Twitch.tv kwam (dat bleek zo te zijn). Het wachten is begonnen.

Jammer dat ook Twitch ten doel valt aan scriptpoepers, maar in ieder geval goed dat ze ermee bezig zijn.
Slavy 24 maart 2015 08:11
Had al reeds een mail gehad afgelopen nacht, dus ja, gebruikers zijn direct benadert.
InFamous 24 maart 2015 08:12
Twitch belooft getroffen gebruikers direct te benaderen. Het is onduidelijk of het bedrijf daar al mee begonnen is of dat het nog niet zeker weet of er daadwerkelijk gebruikers zijn getroffen.
Daar zijn ze dus al mee begonnen:

http://tweakers.net/ext/f...ZbW/full.png?nohitcount=1

[Reactie gewijzigd door InFamous op 22 juli 2024 13:44]

jochem4207 24 maart 2015 08:13
Kijk! Dit zijn mooie voorzorgsmaatregelen! Toppie :)

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq