Sicherheitslücke: Twitch wurde bereits 2014 komplett gehackt
Im Oktober 2014, nur wenige Monate, nachdem Amazon Twitch für fast eine Milliarde US-Dollar übernommen hatte, stolperte ein Twitch-Angestellter über den damals ersten Hack der Plattform. Fast die komplette Infrastruktur von Twitch musste neu gebaut werden. Der Vorfall wurde erst jetzt durch einen Bericht des Onlinemagazins Motherboard bekannt.
Das Onlinemagazin hatte mit sieben ehemaligen Twitch-Angestellten gesprochen, die zum Zeitpunkt des Hacks dort arbeiteten. Demnach waren die Eindringlinge mindestens acht Monate vor ihrer Entdeckung im Oktober 2014 in den Systemen von Twitch.
"Die Hacker hatten so weitreichenden Zugang, bevor sie entdeckt wurden, dass wir im Grunde alles von Grund auf neu aufbauen mussten" , sagte ein ehemaliger Angestellter zu Motherboard(öffnet im neuen Fenster) . Eine der Reaktionen sei ein neu geschriebener Login-Prozess gewesen, da die Eindringlinge eine Sicherheitslücke entdeckt hatten, mit der sie sich eine Passwortkopie jedes Nutzers an ihren Server schicken lassen konnten. Zudem hätten die Eindringlinge Zugriff auf den kompletten Quellcode und alle Datenbanken gehabt.
Dabei seien die Angreifer nicht besonders geschickt gewesen. "Sicherheitsbemühungen wurden immer wieder gestrichen oder zurückgestellt mit dem Argument, dass 'jeder Twitch liebt, niemand will uns hacken'," erklärt ein ehemaliger Angestellter.
Twitch arbeitet weiter mit "schmutzigen Servern"
Einer der Angestellten erzählte, dass er in Folge des Hacks zwei Monate lang jeden Tag 20 Stunden gearbeitet habe. Ein anderer gab an, "drei Wochen am Stück" gearbeitet zu haben. Teils schliefen die Angestellten in extra vom Unternehmen angemieteten Hotelzimmern, um den Arbeitsweg kurz zu halten.
Letztlich ging Twitch davon aus, dass die meisten Server kompromittiert worden waren und dachte, es sei einfacher, sie als "schmutzig" zu bezeichnen und sie nach und nach durch neue Server zu ersetzen. Noch monatelang seien die kompromittierten Systeme und Dienste weiterbetrieben und genutzt worden, berichten die ehemaligen Angestellten. Entwickler und Techniker seien bei der Interaktion mit den Systemen zur Vorsicht angehalten gewesen.
"Der Plan war anscheinend, die gesamte Infrastruktur mit bekanntem, gutem Code neu zu erstellen und die alte 'schmutzige' Umgebung zu verwerfen. Wir hatten noch Jahre später eine Aufteilung zwischen 'schmutzigen' Diensten (Server oder andere Dinge, die zum Zeitpunkt des Hacks liefen) und 'sauberen' Diensten, die danach in Betrieb genommen wurden" , so einer der ehemaligen Angestellten. "Wir haben den Tag, an dem wir den letzten schmutzigen Dienst abgeschaltet haben, im ganzen Büro gefeiert!"
Im März 2015 berichtete Twitch in einem kurzen Blogbeitrag(öffnet im neuen Fenster) von einem Sicherheitsvorfall, bei dem "möglicherweise ein unbefugter Zugriff auf einige Twitch-Benutzerkontoinformationen stattgefunden hat" , verriet aber nicht annähernd, wie umfangreich der Hack tatsächlich war.
Überreste des Hacks noch im aktuellen Datenleck
"Der Vorfall wurde 'Urgent Pizza' genannt, weil das Management jeden lächerliche Mengen an Überstunden machen ließ und Pizzen als Anreiz bestellte" , sagte ein ehemaliger Angestellter. Damals wurde auch beschlossen, alle weiteren Sicherheitsvorfälle nach Lebensmitteln zu benennen. So findet sich im aktuellen Twitch-Datenleck , bei dem über 100 GByte interne Daten von Twitch veröffentlicht wurden, auch ein Zufallsgenerator für Lebensmittelnamen, den die Twitch-Entwickler nach dem Hack 2014 geschrieben haben.
Laut dem Bericht sind auch im kürzlich geleakten Quellcode noch Anspielungen wie "remove pizza script" , "indicate that the server is 'urgent-pizza clean'" , und "dirty_status = True" auf den damaligen Sicherheitsvorfall enthalten.
"Der Vorfall [2014] war ein Worst-Case-Szenario, das völlig vermeidbar war. Aber der Wunsch der Chefetage, das Sicherheitsproblem nicht zu berücksichtigen, war die eigentliche Ursache" , sagte einer der ehemaligen Angestellten. "Und der jüngste Vorfall zeigt, dass sie nichts aus dem Vorfall im Jahr 2014 gelernt haben."