【安全资讯】黑客将前亚马逊首席执行官贝索斯照片挂上多个游戏页面

注：本文由E安全编译报道。

10月9日早上，黑客们设法破坏了 Twitch 几个小时，用前亚马逊首席执行官杰夫贝索斯的照片替换了一些游戏页面的背景图片。用户报告说，在《GTA V》、《Dota 2》、《Smite》、《我的世界》、《Apex英雄》等页面中看到了贝索斯的照片。

目前尚不清楚背景图像是如何更改的，也不清楚这起最新事件是否是由于本周早些时候 Twitch 发生的巨大安全漏洞造成的。黑客能够利用服务器配置错误并窃取数百 GB 的信息。Twitch 仍在调查违规行为，到目前为止，已经发布了大量有关网站源代码、未发布项目，甚至顶级直播者收入的信息。

本周早些时候，黑客借由网络论坛4chan发布窃自游戏视频流媒体平台Twitch的125GB资料。文件的具体内容包含历代Twitch平台源代码，主播收入清单，Twitch专有软件开发工具包，亚马逊游戏工作尚未发布的Steam平台竞品Vapor等。

Twitch公司证实了该平台被黑，并在6日公布了原因，指出是因为Twitch服务器的配置变更错误所造成，而让第三方得以访问内部服务器。这是最近第二起因配置错误所酿成的安全灾难，迄今Twitch仍在调查受黑客范围。脸书在5日凌晨发生的全球宕机事件，也与骨干路由器的配置变更出错有关。

Twitch强调，该平台仍在调查这起意外，但目前尚无任何证据显示有任何用户凭证外泄，而且Twitch并未存放完整的信用卡号码。

黑客允许任何人下载窃自Twitch的资料，其中包含了Twitch的创作者支出细节、twitch.tv的提交历史、移动/桌面/游戏机的Twitch客户端程序源码、Twitch所创建的SDKs及所使用的AWS服务、尚未发布的游戏流媒体平台Vapor，以及Twitch内部的红队测试安全工具等。

《Motherboard》引用Twitch前安全工程师Thomas Shadwell的看法指出，黑客所披露的安全工具看起来都是旧的，外泄的源码也没有太多的机密，看起来受到这波资料外泄事件影响最大的可能是直播主。

Twitter上已经开始有人公布Twitch直播主的收入。Shadwell认为，这些信息将对直播主造成骚扰或潜在威胁，也可能让这些收入丰厚的直播主成为黑客的攻击目标。

为了谨慎起见，Twitch已经重置了所有的流媒体密钥。流媒体密钥为用户开始流媒体时必须输入的凭证，而且直接连接Twitch用户的账号，由于它也属于Twitch用户的凭证之一，过去Twitch即强调不要与任何人分享流媒体密钥。

今年8月，Twitch平台母公司亚马逊就因数据隐私泄露问题遭到其欧洲总部所在地卢森堡国家数据保护委员会（CNPD）的调查和高达7.46亿欧元的罚款，如果该罚款落实，将创下欧盟对数据隐私罚款的最高记录。而在2019年， Facebook也曾因泄露超5.33亿用户个人信息而被美国联邦满意委员会罚款50亿美金，并同样因相关问题遭到英国、韩国等多国处罚。本次数据泄露事件发生后，英国信息专员办公室（ICO）表示尚未收到相关通知，但行业普遍认为，对Twitch乃至亚马逊的惩罚将在所难免。