Seit der Datenpanne bei Twitch haben sich rund 125 GB an Experten für Informationssicherheit mit der Situation befasst.
Archie Agarwal, Gründer und CEO von Bedrohungsmodellierer, das mögliche Cybersicherheitsverletzungen testet und bewertet, äußerte Besorgnis über das Leck mit Bedrohungspost nennt es "so schlimm wie es nur geht".
„Das Lesen einer Datenschutzverletzung, die den vollständigen Quellcode enthält, einschließlich unveröffentlichter Software, SDKs, Finanzberichte und interner Red-Teaming-Tools, wird jedem hartgesottenen Infosec-Profi einen Schauer über den Rücken jagen.“
Agarwal und mehrere andere Sicherheitsexperten waren schockiert über die Datenpanne, die am Mittwoch, dem 6. Oktober, stattfand und von Twitch auf Twitter bestätigt wurde.
Wir können bestätigen, dass ein Verstoß vorliegt. Unsere Teams arbeiten dringend daran, das Ausmaß davon zu verstehen. Wir werden die Community aktualisieren, sobald weitere Informationen verfügbar sind. Danke, dass Sie uns begleiten.
- Zucken (@Twitch) Oktober 6 2021
Obwohl in dem massiven Torrent, der auf gepostet wurde, keine Benutzerinformationen offengelegt wurden 4chan, Agarwal „fast garantiert“, dass Benutzerinformationen in dem Hack gesammelt wurden, der durchgesickert war und im anonymen Forum den Titel „Teil 1“ trug.
Der Angreifer, der behauptete, er sei von dem Wunsch motiviert, "mehr Störungen und Wettbewerb im Online-Video-Streaming-Bereich zu fördern", der aus seiner Überzeugung stammt, dass die Twitch-Community "eine ekelhafte giftige Kloake" ist, scheint eher moralisch als finanziell motiviert zu sein. Es wäre jedoch ratsam, dass Benutzer des Dienstes immer mit Vorsicht vorgehen.
Da Passwörter mit ziemlicher Sicherheit in die Sicherheitsverletzung einbezogen wurden, ist es wichtig, sofort zu handeln. Jarno Niemela, leitender Forscher bei F-secure, einem Unternehmen, das Cybersicherheitslösungen anbietet, sagte, dass die Passwörter zwar noch offengelegt werden müssen, die Benutzer jedoch schnell handeln müssen.
"Nach dem, was wir derzeit wissen ... sind Passwort-Hashes durchgesickert, offensichtlich müssen alle Benutzer ihre Passwörter ändern und 2FA (Zwei-Faktor-Authentifizierung) verwenden, wenn sie dies nicht bereits tun."
Agarwal fuhr fort, die Benutzer darauf hinzuweisen, dass sie „die üblichen Vorsichtsmaßnahmen treffen müssen, wenn sie ihre Kontoanmeldeinformationen ändern, und sicherstellen müssen, dass sie nicht dieselbe Kombination von Anmeldeinformationen verwenden, um auf andere Konten zuzugreifen.“ andere Online-Dienste“. Da Twitch-Nutzer ihre Konten oft mit PayPal verknüpft haben, ist es wichtig, dass Nutzer hier auch ihre Passwörter ändern, um diese Verbindung zu sichern.
James Chappell, Mitbegründer und Chief Innovation Officer bei Digital Shadows, einem Anbieter von Lösungen für das digitale Risikomanagement, war besorgt, dass ein neues Leck mit Benutzerinformationen auftreten könnte. Er hatte auch einige allgemeine Ratschläge für Benutzer jeder Medienplattform.
„Da der Angreifer angegeben hat, dass er noch nicht alle Informationen preisgegeben hat, die er hatte, sollte jeder, der jemals ein Twitch-Benutzer war, alle Informationen, die er Twitch zur Verfügung gestellt hat, überprüfen und prüfen, ob Vorkehrungen getroffen werden müssen, damit andere private Informationen werden nicht weitergegeben“. Dies sollte die Überprüfung der Apps und Konten von Drittanbietern umfassen, die mit Ihrem Twitch-Konto verknüpft sind.
Er riet den Leuten weiter: „Obwohl es in diesem Fall nutzlos ist, da bereits Daten durchgesickert sind, sollten Benutzer dennoch vorsichtig sein, welche Art von Informationen sie an jede Plattform übermitteln. Social Media“.
Security Awareness Advocate bei KnowBe4 Javvad Malik äußerte auch Bedenken für Twitch-Benutzer in der Zukunft und warnte die Leute, dass alle Angriffe, die auf durchgesickerten Informationen basieren, „nicht sofort kommen werden“.
„Kriminelle können die Daten im Leak nutzen, um über Wochen oder Monate überzeugende Phishing-Angriffe zu formulieren. Es ist daher wichtig, dass Twitch-Benutzer auf E-Mails, SMS, physische Briefe oder sogar Telefonanrufe achten, die angeblich von Twitch oder einem verwandten Dienst stammen.
In anderen Nachrichten ist Randy Pitchford nicht mehr CEO von Gearbox Software – wird aber weiterhin die Muttergesellschaft Gearbox Entertainment leiten. Der Nachfolger wird ein 22-jähriger Veteran der Steve Jones Company sein.
