Twitch: datalek kwam door foute serversettings, logindata lijkt niet uitgelekt

Twitch zegt dat een fout bij een verandering van de serverinstellingen ervoor zorgde dat data door een externe partij gestolen kon worden. Deze data werd woensdag via 4chan gedeeld. Volgens het platform zijn er geen aanwijzingen dat er logindata is gestolen.

Door die verkeerd geconfigureerde server was 'sommige data' volgens Twitch openbaar toegankelijk via internet. Een 'kwaadaardige' externe partij stal deze data daarna. Het bedrijf zegt het datalek nog te onderzoeken en de volledige impact nog niet duidelijk te hebben.

Het platform zegt op dit moment nog geen aanwijzingen te hebben dat inloggegevens gestolen zijn. Desondanks raadt Twitch gebruikers aan het wachtwoord aan te passen en 2fa in te stellen. 'Volledige' creditcardnummers worden daarnaast niet opgeslagen door Twitch; deze data is dan ook niet gestolen.

Twitch bevestigde woensdagmiddag slachtoffer te zijn van een groot datalek met de broncode van het platform en interne documenten. Zo is van bekende streamers nu bekend hoeveel zij aan advertentie- en abonnee-inkomsten verdienden via het platform. Daarnaast wordt er binnen de documenten verwezen naar een onaangekondigde Steam-concurrent van Amazon Game Studios, onder de naam Vapour. Een torrent voor de data werd woensdagochtend via 4chan gedeeld.

Door Hayte Hugo

Redacteur

Feedback • 07-10-2021 09:29 66

07-10-2021 • 09:29

66

Lees meer

Twitch stopt volgend jaar in Zuid-Korea wegens hoge netwerkkosten
Twitch stopt volgend jaar in Zuid-Korea wegens hoge netwerkkosten Nieuws van 6 december 2023
Bloomberg: Twitch overweegt streamers minder te betalen voor abonnees
Bloomberg: Twitch overweegt streamers minder te betalen voor abonnees Nieuws van 28 april 2022
Twitch benadrukt dat er bij recente datalek geen gebruikersgegevens gelekt zijn
Twitch benadrukt dat er bij recente datalek geen gebruikersgegevens gelekt zijn Nieuws van 15 oktober 2021
Twitch bevestigt groot datalek met broncode en interne documenten
Twitch bevestigt groot datalek met broncode en interne documenten Nieuws van 6 oktober 2021
Broncode en interne documenten van Twitch zijn mogelijk gelekt op 4chan
Broncode en interne documenten van Twitch zijn mogelijk gelekt op 4chan Nieuws van 6 oktober 2021
Twitch komt met functie waarmee kijkers tegen betaling streamers kunnen promoten
Twitch komt met functie waarmee kijkers tegen betaling streamers kunnen promoten Nieuws van 1 oktober 2021
Meer producten en artikelen
Beveiliging en antivirus Websites en community's Twitch Criminaliteit Crimineel Datalek

Reacties (66)

-Moderatie-faq
66
62
31
1
0
18
Wijzig sortering
SinergyX 7 oktober 2021 10:49
Aanvulling, streamkeys zijn ook gereset:
Out of an abundance of caution, we have reset all stream keys. You can get your new stream key here.

Depending on which broadcast software you use, you may need to manually update your software with this new key to start your next stream:
• Twitch Studio, Streamlabs, Xbox, PlayStation and Twitch Mobile App users should not need to take any action for your new key to work.
• OBS users who have connected their Twitch account should also not need to take any action. OBS users that have not connected their Twitch account to OBS will need to manually copy their stream key from their Twitch Dashboard and paste it into OBS.
• For all others, please refer to specific setup instructions for your software of choice.
Thank you,
Core2016 @SinergyX7 oktober 2021 20:52
Dat rtmp is ook lekker handig. je streamkey is de filename om het zomaar te zeggen. Zonder 's' helemaal leuk. Een semi permanent live token voor toegang tot een broadcast op iemand anders zijn kanaal. Niks checks. Gewoon gas. Appart dat het kan.

[Reactie gewijzigd door Core2016 op 23 juli 2024 01:09]

33Fraise33 7 oktober 2021 09:37
Ik vind de opmerking "some data" echt wel gek dat ze dit in hun verwoording gebruiken. 120GB is niet "some data".
Zeker als de source code van je core business online staat.

[Reactie gewijzigd door 33Fraise33 op 23 juli 2024 01:09]

Kees BOFH @33Fraise337 oktober 2021 09:57
Het zijn wat (alle) interne git repos en een aantal documenten over uitbetalingen. Wat je dan mist is gebruikersgegevens, chats, private chats, video's (vooral die met 'deleted=1') etc etc. 120GB klinkt mischien veel, maar zoveel boeiends zat er nu ook weer niet in die dump.
HollowGamer @Kees7 oktober 2021 10:54
Omdat het schijnbaar part 1 is genoemd, zou het zomaar kunnen zijn dat er weldegelijk gebruikersgegevens die je noemt nog uitlekken. Als deze gebruiker volledige toegang heeft gehad tot de infrastructuur, dan kan Twitch zijn borst nog natmaken.

Het uitlekken van uitbetalingen, source code (weet niet of er algoritmes inzitten) en andere 'kleinere' dingen, is al schadelijk. In de US is er een aanklacht cultuur, dus het zal mij niet verrassen mocht Twitch nog voor dit een flinke trap krijgen.

Of het terecht is weet ik niet. Fouten kunnen gebeuren, echter vind ik het wel vreemd dat er niets van afscheiding of monitoring lijkt plaats te hebben gevonden.
ronansoleste @HollowGamer7 oktober 2021 12:45
Of het terecht is weet ik niet. Fouten kunnen gebeuren, echter vind ik het wel vreemd dat er niets van afscheiding of monitoring lijkt plaats te hebben gevonden.
je antwoord hierop staat in de tekst:
Door die verkeerd geconfigureerde server was 'sommige data' volgens Twitch openbaar toegankelijk via internet.
blijkbaar waren de git repo's toegankelijk via het internet zonder de benodigde credentials te hoeven invoeren (of hoe het dan ook verkeerd geconfigureerd was, het kan ook admin/admin zijn geweest op een beheer accountje)
dan heb je het dus over toegang tot 1 systeem, niet tot de complete infra van twitch.
er is dus wel sprake van afscheiding dan en usernames/passwords zijn dus wel veilig dan.

*hierbij doe ik de aanname dat ze de waarheid spreken en deel 2 mij niet gaat tegenspreken
Vihaio @ronansoleste7 oktober 2021 12:52
Maar dat zou betekenen dat ze de info over betalingen in git bewaren. Dat klinkt niet heel erg logisch. Zo iets sla je toch op in een database?
ronansoleste @Vihaio7 oktober 2021 12:55
de betaling gegevens staan in csv bestanden.
dit lijkt me dus een export van de database eerder dan dat ze toegang hadden tot de database server zelf.
ik vermoed dat ze toegang hadden tot een fileserver waar ze documenten en git repo's opsloegen.
Byron010 @33Fraise337 oktober 2021 09:39
Wat is er gek aan als het niet "all data" is? Feitelijk klopt het gewoon, het is natuurlijk niet niks maar het klopt en de woordkeuze laat het natuurlijk expres klein lijken i.v.m. imago.
SinergyX @33Fraise337 oktober 2021 09:39
Hun complete administratie, mailboxes, cache servers etc zijn niet leeggetrokken, dus in relatie tot 'alle' data, is 'some data' wel correct :P
jaenster @33Fraise337 oktober 2021 09:40
Achja, facebook zei ook dat "We’re aware that some people are having trouble accessing our apps and products." tijdens hun outage deze week.
Dracula @33Fraise337 oktober 2021 10:21
Some data kan best kloppen als er 12PB op dat systeem aanwezig was
jaapzb @33Fraise337 oktober 2021 12:49
Some data betekent letterlijk een gedeelte van de data...
Exhonor 7 oktober 2021 10:14
Desondanks raadt Twitch gebruikers aan het wachtwoord aan te passen en 2fa in te stellen.
Advies, neem net als mij de kans om nu over te stappen van een wachtwoord dat je zelf onthoudt en die je waarschijnlijk deelt met andere accounts naar een goede en veilige wachtwoordmanager.
koios @Exhonor7 oktober 2021 10:48
Voor de mensen die nog een raspberry pi hebben liggen (of een homeserver hebben) kan ik vaultwarden aanraden. Is een (gratis) self-hosted password manager waar je dan mee kan verbinden via de app, browserextensie of desktop programma.
HollowGamer @Exhonor7 oktober 2021 11:00
Ik gebruik al jaren Perenboom als wachtwoord.. maar serieus vind ik het vreemd dat geen enkel OS een fatsoenlijke Integratie heeft met wachtwoorden.

Apple heeft met keychain opzicht een goed sync systeem, maar bij alle grote OS'en moet de gebruiker dit zelf opzetten. Android ondersteund nu automatisch aanvullen, maar ook daar moet je als gebruiker zelf voor eerst aan de slag. Het merendeel snapt die melding niet en negeert het compleet.

Erger zijn nog organisaties, sommige bewaren wachtwoorden in md5/sha1 of gewoon plaintext zoals mijn vroegere sportschool.

Een wachtwoord manager + 2FA is zeker een goed begin, alleen had ik liever gezien dat een OS daar beter mee zou integreren.
MueR Admin Discord @HollowGamer7 oktober 2021 11:09
Het is vooral dat ze ook met elkaar moeten kunnen syncen eigenlijk. Ik gebruik Lastpass omdat het gewoon overal werkt. Op m'n laptop, op m'n desktop, op m'n telefoon.
Exhonor @MueR7 oktober 2021 11:19
Ik raad zelf BitWarden aan.

Gratis, open-source, heeft apps en extensies voor elke OS en browser, heeft een beter security track-record dan LastPass (voor zover ik weet) en is niet in bezit van een grotere corporatie.
samtoxie @HollowGamer8 oktober 2021 11:31
Ik heb het even geprobeerd, maar ik kon niet inloggen op je tweakers account
Linksquest Moderator Spielerij 7 oktober 2021 10:53
Kreeg net inderdaad een mail met het verzoek om een nieuwe stream key aan te vragen, dus gaat weer lekker.
Lieftalig 7 oktober 2021 15:30
Ook echt 125 gb aan data he. Als dit puur logbestanden zijn dan is het echt een eindeloze berg. Met videomateriaal ben je er in 2 video's haha.
Byron010 7 oktober 2021 09:38
Ik vraag me dan af wanneer die fout gemaakt is.. het lijkt me sterk dat binnen bijvoorbeeld 1 dag, iemand door had dat die fout gemaakt was, gelijk het uitgebuit heeft (en wist hoe dat moest) en vervolgens direct released. Ofwel; hoe lang was het mogelijk om hier misbruik van te maken?
Tim Fennis @Byron0107 oktober 2021 09:50
Bedrijven als Twitch liggen waarschijnlijk continu onder vuur door allerlei geautomatiseerde software die bekende exploits test. De kans is aanwezig dat de foute configuratie ertoe heeft geleid dat de scanners de exploit vrij snel konden vinden.
Maurits van Baerle @Byron0107 oktober 2021 10:25
Zoals @Tim Fennis zegt, het kan in een paar minuten gepiept zijn. Wij hebben ergens extern een script draaien die 24/7 iedere vijf minuten de inlogpagina van een van onze servers probeert te bereiken. Lukt dat (omdat iemand ergens een configuratiefout heeft gemaakt) dan wordt er direct alarm geslagen. En regelmatig vraag ik me af of iedere vijf minuten wel vaak genoeg is.

Er bestaat zoiets als banner attacks. Bots scannen permanent het internet af om alle publiek zichtbare versienummers (“banners”) van server software op te slaan in een database. Wordt er dan bekend gemaakt dat er een vulnerability zit in versie x.y.z hoeven aanvallers alleen even in de DB te kijken om een hele lijst te hebben om gebruik te maken van dat probleem.

[Reactie gewijzigd door Maurits van Baerle op 23 juli 2024 01:09]

dec0de @Maurits van Baerle7 oktober 2021 15:12
Waarom zou je maar 1x per 5 minuten doen? Als je elke 30 sec doet zie je dat echt niet terug op je server load. Desnoods maak je een rate-limit uitzondering...
wica 7 oktober 2021 09:42
Zo is van bekende streamers nu bekend hoeveel zij aan advertentie- en abonnee-inkomsten verdienden via het platform.
Ik vermoed dat de belasting dienst, deze torrent gedownload heeft ;)
Lagonas @wica7 oktober 2021 10:02
Ik vermoed dat Amazon dit tot op de cent nauwkeurig al doorgeeft aan de belastingdienst.
Tommy_K @wica7 oktober 2021 10:44
De getroffen streamers maken zich ook helemaal niet druk hierom, een aantal heeft het subscriber aantal gewoon tijdens de stream als een live ticker staan en ook van de rest is die informatie redelijk makkelijk te achterhalen of in ieder geval in te schatten.

dat de top 0.1% van de streamers een dik belegde boterham verdienen was wel bekend. Tis entertainment en in elke tak daarvan heeft de top het goed.

Interresanter vind ik de onderkant van de lijst, daar herken ik wat mensen staan die zo rond de 350 gelijktijdige kijkers hebben, blijkbaar zitten die dus nog net op een modaal salaris zo ongeveer. Dat is dus ene beetje de ondergrens voor mensen die fulltime streamer willen zijn om ervan rond te kunnen komen.
Arjant2 @Tommy_K7 oktober 2021 14:40
Vergeet niet dat er vaak ook nog wat andere mogelijkheden zijn om streams financieel te ondersteunen dan alleen subs en bits die via twitch gaan.
De donations gaan via een andere partij en die lopen op veel kanalen ook nog aardig op.
crazyboy01 7 oktober 2021 09:55
Tja, het zou niet mogen maar het kan echt overal gebeuren waar mensen werken. Letterlijk "openbaar toegankelijk" klinkt wel wat knullig, al zou ik de indringer dan ook niet meer als volwaardig "hacker" zien als er weinig gekraakt moest worden.

Wel grappig hoe er een hoop personen gister met zekerheid zeiden dat dit gewoon direct gelekt was door een intern persoon, terwijl het gewoon aannames waren. Dit bericht zegt namelijk toch echt iets anders en spreekt zelfs letterlijk over een externe partij.

[Reactie gewijzigd door crazyboy01 op 23 juli 2024 01:09]

Disker 7 oktober 2021 11:27
Maar wel emails sturen met nieuwe stream keys...

Net binnen gehad.

[Reactie gewijzigd door Disker op 23 juli 2024 01:09]

Oon 7 oktober 2021 11:38
Hoezo ben je meteen een 'kwaadaardige partij' als je data die gewoon publiekelijk beschikbaar is downloadt?

Dat je dat bent als je zonder toestemming ergens inlogt en data jat snap ik, maar ze hadden hier dus gewoon hun interne versiebeheer op openbaar staan, lijkt me niks kwaadaardigs aan als je dan even op het 'download as zip' knopje drukt.
ZinloosGeweldig @Oon7 oktober 2021 13:36
Als de deur van de buurman open staat en jij loopt naar binnen om van zijn bankafschriften foto's te maken ben je ook huisvredebreuk aan het plegen.
Oon @ZinloosGeweldig7 oktober 2021 13:39
Ik wist dat dat argument zou komen, maar dat slaat helemaal nergens op.
Dit is niet te vergelijken met een deur die open staat, dit is je foto's buiten aan de openbare weg zetten en dan verbaasd zijn dat iemand ze bekijkt.

Het verschil zit 'm hier in een systeem waar je kan registreren en dan kan inloggen, en dus (zonder toestemming) in een privé omgeving bent, en een systeem waar alles openbaar is. Dat eerste zou je inderdaad kunnen vergelijken met een deur die open staat zodat je naar binnen kan wandelen, maar in dit geval was er niet eens een registratie die open stond maar was gewoon alles op publiek gezet.

Edit: Ik zeg overigens niet dat er geen inbreuk is gemaakt op het auteursrecht van Twitch of anderzijds een wet overtreden is, maar 'kwaadaardige partij' klinkt alsof een of andere ultieme hacker op de systemen van Twitch heeft ingebroken, terwijl ze in de realiteit gewoon hun hele repositories en administratie aan de straat hebben gezet.

[Reactie gewijzigd door Oon op 23 juli 2024 01:09]

ZinloosGeweldig @Oon7 oktober 2021 13:44
Ik vind het onderscheid tussen of er een registratie optie, of dat het gewoon publiek open staat, niet zo belangrijk wanneer iedere drol een redelijk vermoeden kan hebben dat deze data niet publiekelijk toegankelijk zou moeten zijn.

En als iemand per ongeluk zijn bankafschriften in het openbaar laat slingeren, en een ander maakt er kopieën van om te verspreiden, dan kan je ongeacht de juridische status daarvan spreken van een kwaadaardige partij.

"Het stond toch openbaar dus er is niks mee" is gewoon willful ignorance.

[Reactie gewijzigd door ZinloosGeweldig op 23 juli 2024 01:09]

Oon @ZinloosGeweldig7 oktober 2021 13:48
Bewust negeren dat het misschien niet de bedoeling is dat je toegang hebt tot gegevens die gewoon openbaar zijn is inderdaad alsnog fout, maar zoals ik net in de edit van mijn eerdere comment heb aangegeven is dit toch heel wat anders dan een 'kwaadaardige partij'. Dit is gewoon iemand die deze gegevens op straat zag liggen en zoiets had van hé dit is wel interessant.

Deze persoon had ook anderen erop kunnen wijzen dat al deze informatie op straat lag in plaats van hier zelf kopieën van te maken, dan had hij niks 'fout' gedaan, maar in de praktijk had dat hetzelfde resultaat gehad.

Gewoon een grote domme fout van Twitch, die ze m.i. niet op iemand anders af moeten schuiven.
ZinloosGeweldig @Oon7 oktober 2021 13:52
Ik zie dit ook helemaal niet als afschuiven. Dat je een grove fout gemaakt hebt, betekent niet dat wanneer een ander van die fout gebruik maakt om data buit te maken (en te verspreiden, dat is zeker geen onbelangrijk onderdeel hiervan) dat geen kwaadaardige partij is. En we kunnen de motieven van degene die het verspreid heeft natuurlijk niet weten, maar laten we niet doen alsof het niet zeer aannemelijk is dat het doel schade aan twitch toebrengen was. Kwaadaardige partij.

Enne, ik moest ff op de blog van Arnoud Engelfriet zoeken maar:

Van het misdrijf computervredebreuk (art. 138ab Strafrecht) is sprake als je opzettelijk en wederrechtelijk binnendringt in een computersysteem. Het is niet vereist dat je een beveiliging kraakt; genoeg is dat je weet dat je niet mag zijn waar je bent.

https://blog.iusmentis.co...bsite-computervredebreuk/

[Reactie gewijzigd door ZinloosGeweldig op 23 juli 2024 01:09]

Oon @ZinloosGeweldig7 oktober 2021 13:55
Je vergeet het allerbelangrijkste:
Echter, bij scrapen kom je nergens waar je niet mag zijn. Je vraagt data op die openbaar en welbewust toegankelijk is gemaakt. Er worden geen URL’s geraden of speciale queries gedraaid die eigenlijk niet de bedoeling zijn. Het gebruik van die data is niet de bedoeling, maar dat gebeurt een stap later. Daarom zie ik dit niet als strafbaar feit.
Iemand aan de kant van Twitch heeft die data openbaar gemaakt, degene die deze heeft opgepikt heeft niks raars hoeven doen om toegang te krijgen, gewoon een pagina bezocht.

Wel belangrijk is dat dus het gebruik van die data niet de bedoeling is, wat hier wel gebeurd is, maar ik zie alsnog niet in hoe dit deze persoon een 'kwaadaardige partij' maakt. Het was gewoon iemand die iets interessants zo in het openbaar tegen kwam en dat heeft gedeeld met de rest van de wereld.
ZinloosGeweldig @Oon7 oktober 2021 13:58
Ik linkte die blogpost vanwege de beschrijving van computervredebreuk, maar je vergeet hier zelf een belangrijk stuk aan het stukje dat je citeert:
Echter, bij scrapen kom je nergens waar je niet mag zijn. Je vraagt data op die openbaar en welbewust toegankelijk is gemaakt. Er worden geen URL’s geraden of speciale queries gedraaid die eigenlijk niet de bedoeling zijn. Het gebruik van die data is niet de bedoeling, maar dat gebeurt een stap later. Daarom zie ik dit niet als strafbaar feit.
Dit was niet welbewust en dat is ook evident.
Het was gewoon iemand die iets interessants zo in het openbaar tegen kwam en dat heeft gedeeld met de rest van de wereld.
Dat noem ik dus willful ignorance.

[Reactie gewijzigd door ZinloosGeweldig op 23 juli 2024 01:09]

Arjant2 @Oon7 oktober 2021 14:46
Misschien ook even lezen dat deze "hacker" wel degelijk kwade bedoelingen had met het verspreiden van deze informatie zoals hij zelf aangeeft op 4chan.
De kans dat dit figuur heel per ongeluk op een server van twitch belandt zonder daar actief naar op zoek te zijn geweest is nihil. Hij wist dus precies dat hij ergens op inbrak waar hij niet thuishoorde. En dan vervolgens al deze informatie publiek te maken om twitch bewust te schaden.
Dus 'kwaadaardig' is een prima omschrijving.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq