Sicherheitslücke: Twitch wurde bereits 2014 komplett gehackt

Ehemalige Twitch-Angestellte berichten von einem Hack, dessen Umfang bisher unbekannt war. Auch im aktuellen Datenleck finden sich noch Spuren.

Artikel veröffentlicht am ,
Twitch wurde bereits 2014 gehackt.
Twitch wurde bereits 2014 gehackt. (Bild: Benjamin Zocholl/Pixabay)

Im Oktober 2014, nur wenige Monate, nachdem Amazon Twitch für fast eine Milliarde US-Dollar übernommen hatte, stolperte ein Twitch-Angestellter über den damals ersten Hack der Plattform. Fast die komplette Infrastruktur von Twitch musste neu gebaut werden. Der Vorfall wurde erst jetzt durch einen Bericht des Onlinemagazins Motherboard bekannt.

Stellenmarkt
  1. Cyber Security Engineer/IT Security (m/w/d)
    Eurowings Aviation GmbH, Köln
  2. Software Developer Frontend (m/f/d)
    Advantest Europe GmbH, Duisburg
Detailsuche

Das Onlinemagazin hatte mit sieben ehemaligen Twitch-Angestellten gesprochen, die zum Zeitpunkt des Hacks dort arbeiteten. Demnach waren die Eindringlinge mindestens acht Monate vor ihrer Entdeckung im Oktober 2014 in den Systemen von Twitch.

"Die Hacker hatten so weitreichenden Zugang, bevor sie entdeckt wurden, dass wir im Grunde alles von Grund auf neu aufbauen mussten", sagte ein ehemaliger Angestellter zu Motherboard. Eine der Reaktionen sei ein neu geschriebener Login-Prozess gewesen, da die Eindringlinge eine Sicherheitslücke entdeckt hatten, mit der sie sich eine Passwortkopie jedes Nutzers an ihren Server schicken lassen konnten. Zudem hätten die Eindringlinge Zugriff auf den kompletten Quellcode und alle Datenbanken gehabt.

Dabei seien die Angreifer nicht besonders geschickt gewesen. "Sicherheitsbemühungen wurden immer wieder gestrichen oder zurückgestellt mit dem Argument, dass 'jeder Twitch liebt, niemand will uns hacken'", erklärt ein ehemaliger Angestellter.

Twitch arbeitet weiter mit "schmutzigen Servern"

Golem Akademie
  1. Jira für Anwender: virtueller Ein-Tages-Workshop
    10. November 2021, virtuell
  2. Einführung in die Programmierung mit Rust: virtueller Fünf-Halbtage-Workshop
    21.–25. März 2022, Virtuell
Weitere IT-Trainings

Einer der Angestellten erzählte, dass er in Folge des Hacks zwei Monate lang jeden Tag 20 Stunden gearbeitet habe. Ein anderer gab an, "drei Wochen am Stück" gearbeitet zu haben. Teils schliefen die Angestellten in extra vom Unternehmen angemieteten Hotelzimmern, um den Arbeitsweg kurz zu halten.

Letztlich ging Twitch davon aus, dass die meisten Server kompromittiert worden waren und dachte, es sei einfacher, sie als "schmutzig" zu bezeichnen und sie nach und nach durch neue Server zu ersetzen. Noch monatelang seien die kompromittierten Systeme und Dienste weiterbetrieben und genutzt worden, berichten die ehemaligen Angestellten. Entwickler und Techniker seien bei der Interaktion mit den Systemen zur Vorsicht angehalten gewesen.

"Der Plan war anscheinend, die gesamte Infrastruktur mit bekanntem, gutem Code neu zu erstellen und die alte 'schmutzige' Umgebung zu verwerfen. Wir hatten noch Jahre später eine Aufteilung zwischen 'schmutzigen' Diensten (Server oder andere Dinge, die zum Zeitpunkt des Hacks liefen) und 'sauberen' Diensten, die danach in Betrieb genommen wurden", so einer der ehemaligen Angestellten. "Wir haben den Tag, an dem wir den letzten schmutzigen Dienst abgeschaltet haben, im ganzen Büro gefeiert!"

Im März 2015 berichtete Twitch in einem kurzen Blogbeitrag von einem Sicherheitsvorfall, bei dem "möglicherweise ein unbefugter Zugriff auf einige Twitch-Benutzerkontoinformationen stattgefunden hat", verriet aber nicht annähernd, wie umfangreich der Hack tatsächlich war.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Überreste des Hacks noch im aktuellen Datenleck

"Der Vorfall wurde 'Urgent Pizza' genannt, weil das Management jeden lächerliche Mengen an Überstunden machen ließ und Pizzen als Anreiz bestellte", sagte ein ehemaliger Angestellter. Damals wurde auch beschlossen, alle weiteren Sicherheitsvorfälle nach Lebensmitteln zu benennen. So findet sich im aktuellen Twitch-Datenleck, bei dem über 100 GByte interne Daten von Twitch veröffentlicht wurden, auch ein Zufallsgenerator für Lebensmittelnamen, den die Twitch-Entwickler nach dem Hack 2014 geschrieben haben.

Laut dem Bericht sind auch im kürzlich geleakten Quellcode noch Anspielungen wie "remove pizza script", "indicate that the server is 'urgent-pizza clean'", und "dirty_status = True" auf den damaligen Sicherheitsvorfall enthalten.

"Der Vorfall [2014] war ein Worst-Case-Szenario, das völlig vermeidbar war. Aber der Wunsch der Chefetage, das Sicherheitsproblem nicht zu berücksichtigen, war die eigentliche Ursache", sagte einer der ehemaligen Angestellten. "Und der jüngste Vorfall zeigt, dass sie nichts aus dem Vorfall im Jahr 2014 gelernt haben."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Cloud-Ausfall
Eine AWS-Region als Single Point of Failure

Ein stundenlanger Ausfall der AWS-Cloud legte zentrale Dienste und sogar Amazon selbst teilweise lahm. Das zeigt die Grenzen der Cloud-Versprechen.
Ein Bericht von Sebastian Grüner

Cloud-Ausfall: Eine AWS-Region als Single Point of Failure
Artikel
  1. Ampelkoalition: Das Verkehrsministerium wird zum Digitalministerium
    Ampelkoalition
    Das Verkehrsministerium wird zum Digitalministerium

    Aus dem geplanten Ministerium für Verkehr und Digitales wird ein Ministerium für Digitales und Verkehr. Minister Wissing erhält zusätzliche Kompetenzen.

  2. Bundesnetzagentur: 30 Messungen an drei unterschiedlichen Kalendertagen
    Bundesnetzagentur
    30 Messungen an drei unterschiedlichen Kalendertagen

    Die Bundesnetzagentur hat festgelegt, wann der Netzbetreiber/Provider den Vertrag nicht erfüllt. Es muss viel gemessen werden.

  3. Euro NCAP: Renault Zoe mit katastrophalem Crash-Ergebnis
    Euro NCAP
    Renault Zoe mit katastrophalem Crash-Ergebnis

    Mit dem Renault Zoe sollte man keinen Unfall bauen. Im Euro-NCAP-Crashtest erhielt das Elektroauto null Sterne.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Acer-Monitore zu Bestpreisen (u. a. 27" FHD 165Hz OC 199€) • Kingston PCIe-SSD 1TB 69,90€ & 2TB 174,90€ • Samsung Smartphones & Watches günstiger • Saturn: Xiaomi Redmi Note 9 Pro 128GB 199€ • Alternate (u. a. Razer Opus Headset 69,99€) • Release: Halo Infinite 68,99€ [Werbung]
    •  /