【安全资讯】知名电子游戏直播平台Twitch源代码和业务数据遭泄露

引言

10月6日，一位匿名用户在4chan匿名网站的讨论区发帖，泄露了Twitch的源码和用户敏感信息。Twitch是一家全球知名电子游戏直播平台，Twitch上的视频游戏流媒体所覆盖的游戏种类非常广泛，几乎涵盖了市面上所有游戏种类。该匿名用户分享了一个种子链接，共享了从6000个内部Twitch Git库窃取的125 GB的数据。

简况

泄密用户称，泄露的Twitch 数据包含：

• 整个twitch.tv，包括早期的提交历史；
• 移动、桌面和视频游戏机Twitch客户端；
• Twitch使用的各种专用SDK和内部AWS服务；
• Twitch的其他资源，包括IGDB和CurseForge；
• 亚马逊Game Studios未发布的Steam竞争对手；
• Twitch SOC内部红队工具；
• 2019年至今创作者的支出报告（可以推测主播到底赚了多少钱）。

在数据库中，最敏感的文件夹包含有关Twitch用户和身份验证机制、管理员管理工具以及来自 Twitch 内部安全团队的数据的，包括描述 Twitch 后端基础设施各个部分的模型。种子文件中的部分内容如下图：

目前研究人员暂时无法找到Twitch 用户的个人详细信息，但泄漏的数据中包含该平台顶级主播的支付方案，其中一些已经确认其准确性。这些数据暴露了该平台一些最大收入者的月收入，其中一些达到了六位数，这可能成为对勒索团伙和犯罪集团有利的数据。

目前，Twitch已通过电子邮件确认了此次泄漏行为，表示公司团队正在紧急工作以了解信息泄露的程度。目前认为泄漏源是公司内部的 Git 服务器。此外，此次泄漏的数据被标记为“第一部分”，这表明未来可能会泄漏更多数据。尽管目前并没有发现用户数据，但一些安全研究人员已敦促用户更改密码并为其帐户启用多因素身份验证解决方案作为预防措施。