Sicherheitslücke: Twitch wurde bereits 2014 komplett gehackt

Ehemalige Twitch-Angestellte berichten von einem Hack, dessen Umfang bisher unbekannt war. Auch im aktuellen Datenleck finden sich noch Spuren.

Artikel veröffentlicht am ,
Twitch wurde bereits 2014 gehackt.
Twitch wurde bereits 2014 gehackt. (Bild: Benjamin Zocholl/Pixabay)

Im Oktober 2014, nur wenige Monate, nachdem Amazon Twitch für fast eine Milliarde US-Dollar übernommen hatte, stolperte ein Twitch-Angestellter über den damals ersten Hack der Plattform. Fast die komplette Infrastruktur von Twitch musste neu gebaut werden. Der Vorfall wurde erst jetzt durch einen Bericht des Onlinemagazins Motherboard bekannt.

Stellenmarkt
  1. Senior Software Developer (m/w/d)
    unimed Abrechnungsservice für Kliniken und Chefärzte GmbH, deutschlandweit (Home-Office)
  2. Senior Cloud Engineer (m/w/d)
    unimed Abrechnungsservice für Kliniken und Chefärzte GmbH, Wadern (Home-Office möglich)
Detailsuche

Das Onlinemagazin hatte mit sieben ehemaligen Twitch-Angestellten gesprochen, die zum Zeitpunkt des Hacks dort arbeiteten. Demnach waren die Eindringlinge mindestens acht Monate vor ihrer Entdeckung im Oktober 2014 in den Systemen von Twitch.

"Die Hacker hatten so weitreichenden Zugang, bevor sie entdeckt wurden, dass wir im Grunde alles von Grund auf neu aufbauen mussten", sagte ein ehemaliger Angestellter zu Motherboard. Eine der Reaktionen sei ein neu geschriebener Login-Prozess gewesen, da die Eindringlinge eine Sicherheitslücke entdeckt hatten, mit der sie sich eine Passwortkopie jedes Nutzers an ihren Server schicken lassen konnten. Zudem hätten die Eindringlinge Zugriff auf den kompletten Quellcode und alle Datenbanken gehabt.

Dabei seien die Angreifer nicht besonders geschickt gewesen. "Sicherheitsbemühungen wurden immer wieder gestrichen oder zurückgestellt mit dem Argument, dass 'jeder Twitch liebt, niemand will uns hacken'", erklärt ein ehemaliger Angestellter.

Twitch arbeitet weiter mit "schmutzigen Servern"

Golem Akademie
  1. Webentwicklung mit React and Typescript: virtueller Fünf-Halbtage-Workshop
    6.–10. Dezember 2021, Virtuell
  2. Jira für Systemadministratoren: virtueller Zwei-Tage-Workshop
    9.–10. Dezember 2021, virtuell
Weitere IT-Trainings

Einer der Angestellten erzählte, dass er in Folge des Hacks zwei Monate lang jeden Tag 20 Stunden gearbeitet habe. Ein anderer gab an, "drei Wochen am Stück" gearbeitet zu haben. Teils schliefen die Angestellten in extra vom Unternehmen angemieteten Hotelzimmern, um den Arbeitsweg kurz zu halten.

Letztlich ging Twitch davon aus, dass die meisten Server kompromittiert worden waren und dachte, es sei einfacher, sie als "schmutzig" zu bezeichnen und sie nach und nach durch neue Server zu ersetzen. Noch monatelang seien die kompromittierten Systeme und Dienste weiterbetrieben und genutzt worden, berichten die ehemaligen Angestellten. Entwickler und Techniker seien bei der Interaktion mit den Systemen zur Vorsicht angehalten gewesen.

"Der Plan war anscheinend, die gesamte Infrastruktur mit bekanntem, gutem Code neu zu erstellen und die alte 'schmutzige' Umgebung zu verwerfen. Wir hatten noch Jahre später eine Aufteilung zwischen 'schmutzigen' Diensten (Server oder andere Dinge, die zum Zeitpunkt des Hacks liefen) und 'sauberen' Diensten, die danach in Betrieb genommen wurden", so einer der ehemaligen Angestellten. "Wir haben den Tag, an dem wir den letzten schmutzigen Dienst abgeschaltet haben, im ganzen Büro gefeiert!"

Im März 2015 berichtete Twitch in einem kurzen Blogbeitrag von einem Sicherheitsvorfall, bei dem "möglicherweise ein unbefugter Zugriff auf einige Twitch-Benutzerkontoinformationen stattgefunden hat", verriet aber nicht annähernd, wie umfangreich der Hack tatsächlich war.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Überreste des Hacks noch im aktuellen Datenleck

"Der Vorfall wurde 'Urgent Pizza' genannt, weil das Management jeden lächerliche Mengen an Überstunden machen ließ und Pizzen als Anreiz bestellte", sagte ein ehemaliger Angestellter. Damals wurde auch beschlossen, alle weiteren Sicherheitsvorfälle nach Lebensmitteln zu benennen. So findet sich im aktuellen Twitch-Datenleck, bei dem über 100 GByte interne Daten von Twitch veröffentlicht wurden, auch ein Zufallsgenerator für Lebensmittelnamen, den die Twitch-Entwickler nach dem Hack 2014 geschrieben haben.

Laut dem Bericht sind auch im kürzlich geleakten Quellcode noch Anspielungen wie "remove pizza script", "indicate that the server is 'urgent-pizza clean'", und "dirty_status = True" auf den damaligen Sicherheitsvorfall enthalten.

"Der Vorfall [2014] war ein Worst-Case-Szenario, das völlig vermeidbar war. Aber der Wunsch der Chefetage, das Sicherheitsproblem nicht zu berücksichtigen, war die eigentliche Ursache", sagte einer der ehemaligen Angestellten. "Und der jüngste Vorfall zeigt, dass sie nichts aus dem Vorfall im Jahr 2014 gelernt haben."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
MS Satoshi
Die abstruse Geschichte des Bitcoin-Kreuzfahrtschiffs

Kryptogeld-Enthusiasten kauften ein Kreuzfahrtschiff und wollten es zum schwimmenden Freiheitsparadies machen. Allerdings scheiterten sie an jeder einzelnen Stelle.
Von Elke Wittich

MS Satoshi: Die abstruse Geschichte des Bitcoin-Kreuzfahrtschiffs
Artikel
  1. Gigafactory Berlin: Tesla verzichtet für Akkufertigung auf staatliche Förderung
    Gigafactory Berlin
    Tesla verzichtet für Akkufertigung auf staatliche Förderung

    Tesla verzichtet für die geplante Akkufertigung in Grünheide bei Berlin auf eine mögliche staatliche Förderung in Milliardenhöhe.

  2. Microsoft: Xbox-Spieler in Halo Infinite von Crossplay genervt
    Microsoft
    Xbox-Spieler in Halo Infinite von Crossplay genervt

    Im Multiplayer von Halo Infinite gibt es offenbar immer mehr Cheater. Nun fordern Xbox-Spieler eine Option, um gemeinsame Partien mit PCs zu vermeiden.

  3. 50 Prozent bei IT-Weiterbildung sparen
     
    50 Prozent bei IT-Weiterbildung sparen

    Die Black Week 2021 in der Golem Karrierewelt läuft weiter: 50 Prozent bei zahlreichen Live-Workshops, Coachings und E-Learnings sparen - noch bis Montag!
    Sponsored Post von Golem Akademie

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Heute ist Black Friday • Corsair MP600 Pro XT 1TB 167,96€ • Apple Watch Series 6 ab 379€ • Boxsets (u. a. Game of Thrones Blu-ray 79,97€) • Samsung Galaxy S21 128GB 777€ • Premium-Laptops (u. a. Lenovo Ideapad 5 Pro 16" 829€) • MS Surface Pro7+ 888€ • Astro Gaming Headsets [Werbung]
    •  /