Update vom 8.10.2021:
Inzwischen liegt eine Stellungnahme von Twitch zu dem Vorfall vor, in welcher das Unternehmen den Vorfall einräumt. Aufgrund eines Konfigurationsfehlers bei einem Twitch-Server sei es Dritten möglich gewesen, Zugriff auf interne Daten zu erlangen. Laut Twitch selbst seien dabei keinerlei Zugangsdaten abgegriffen worden und auch keine Kreditkartendaten. Letztere würden nicht vollständig gespeichert werden, so dass ein Diebstahl dieser auch nicht möglich sei. Es gibt zwar weiterhin Hinweise darüber, dass die Passwörter sogar im Klartext im Leak enthalten seien, jedoch stehen noch unabhängige Bestätigungen dazu aus. Auf jeden Fall enthalten sind wohl zumindest die Emailadressen der PayPal-Buchungen und auch private Daten von Twitch-Mitarbeitern.
Twitch sah sich inzwischen gezwungen, die Stream-Keys, welche für externe Broadcasting-Software benötigt werden, zurückzusetzen. Laut Twitch wurde diese Maßnahme nur aus "reiner Vorsicht" heraus getroffen.
Ursprüngliche Meldung vom 6.10.2021:
Wie VGC berichtet, wurde heute Morgen auf einem Imageboard ein über 128GB großer Leak mit Daten von Twitch bereitgestellt. Nach eigenen Angaben will der anonyme Leaker den Betrieb von Twitch stören und die Konkurrenz fördern, weil er die Community des Live-Streamingdienstes als toxisch empfindet. Bei den veröffentlichten Daten soll es sich nur um den ersten Teil des Leaks handeln.
Teil des Leaks sind die verschlüsselten Passwörter aller Nutzer. Ihr solltet daher dringend euer Passwort bei Twitch ändern sowie überall dort, wo ihr dasselbe Passwort verwendet, insbesondere in Verbindung mit demselben Nutzernamen. Auch ist dringend die Nutzung der Zwei-Faktor-Authentifizierung (2FA) empfohlen.
Im Leak enthalten sind nach bisherigen Erkenntnissen außerdem die Quellcodes von allen Twitch-Apps auf allen Plattformen, sowie die Quellcodes aller Nebenprojekte. Es wird von 6000 Git-Repositories gesprochen. Des Weiteren finden sich proprietäre SDKs und AWS-Dienste, welche durch Twitch genutzt werden und ein bislang nicht veröffentlichter Steam-Konkurrent von Amazon Game Studios mit dem Codenamen Vapor. Auch alle Creator-Einnahmen von 2019 bis heute werden angegeben. Insbesondere die Veröffentlichung der Auszahlungen an die Creators wird derzeit viel über die Medien weiterverbreitet.
112 Kudos
Unabhängig. Meinungsstark.
Danke für die News, ggf. noch einen Hinweis auf die 2FA mit aufnehmen?
Habe ich mal mit erwähnt. Vielleicht schreib ich mal nen Artikel über Accountsicherheit :-)
Das wäre ein schöner und sinnvoller UA.
Ist halt schon etwas älter: https://www.gamersglobal.de/user-artikel/ein-leitfaden-fuer-die-eigene-passwortsicherheit
An sich kein schlechter Artikel aber ich hätte Kritik an einigen Stellen. Mal gucken ob sich ein Bedürfnis abzeichnet, dann setze ich mich auch mal ran :-)
Jo, ein aktueller UA würde sicherlich nicht schaden. ;-)
Mich würde es auf jeden Fall sehr interessieren.
Insbesondere, ob ich schon sicher genug unterwegs bin oder nicht... ;-)
Ich arbeite immerhin nur mit zufallsgenerierten und eindeutigen Passworten, die dann den Anforderungen bzgl. Länge und Komplexität genügen. An die regelmäßig Änderung der Passworte erinnert mich dann auch mein Passwortmanager.
Für den Login habe ich da, wo es für mich sinnvoll ist, noch eine 2FA.
Bin ja jetzt auch schon 1-2 Tage in der IT unterwegs, aber was ich bis heute nicht verstehe: Wenn man ein "sicheres" Passwort hat und das auch nur bei einem Service benutzt, was soll einen das Regelmässige ändern bringen?
Wenn der Dienst gehackt wurde, ok, macht immer Sinn, weil man nicht weiss was die alles rausgetragen haben. Aber ansonsten? Entweder sie kommen rein, oder nicht. Bruteforce dürfte selten zur Anwendung kommen, dann isses aber auch egal ob Du 1x oder 20x dein PW geändert hast, mehr Sicherheit gibts da nicht.
Die Chance, dass jemand Regelmässig PWs ändert und keinen Passwortmanager hat dürfte hoch sein. Was dazu führt das Leute ihre Passworte um "meineliebste2" zu "meineliebste3" ändert ... oder das PW gleich auf nen Zettel schreibt. Sprich, weniger Sicherheit beim Regelmässigen wechsel.
Von der Empfehlung, sein Passwort regelmäßig zu ändern, ist ja nun (endlich!) auch das BSI im letzten Jahr abgerückt:
https://www.heise.de/security/meldung/Passwoerter-BSI-verabschiedet-sich-vom-praeventiven-Passwort-Wechsel-4652481.html
Da habt ihr beide natürlich Recht. Ich schiebe es mal auf reine Gewohnheit. ;)
Ja, da sagst du was. Ich muss für ein Portal auf Arbeit alle 3 Monate das PW ändern, es nervt einfach nur und hat keinen Sinn.
Kenn ich, völlig bescheuert.
Bei mir muss ich idR alle vier Wochen ändern - und das nicht nur für den Rechner an sich, sondern auch bei den Zugängen zu diversen Datenbanken und Tools. Besonders toll bei solchen, die man nur alle Nase lang mal nutzen muss und dann meist gesperrt ist, weil man sein Passwort so lange nicht geändert hat.
... und der normale Benutzer baut spätestens jetzt eine Systematic in sein Passwort ein (z.B. OhM3inG3h3imesPasZwort202110).
Bei uns habe ich den Mist (regelmäßige Änderungen) vor über 10 Jahren deaktiviert, die Mindestlänge und Komplexität jedoch erhöht (grins). Datenbanken und Tools haben sowieso mindestens 24 Stellen und müssen mit einem Passwortgenerator erzeugt werden.
Ich habe für den Hauptnutzer immerhin auch einen festen Bestandteil, bei dem sich nur die letzten Zeichen ändern. Das ist recht einfach zu merken für mich. Besonders toll ist allerdings, dass gerade die unwichtigsten Programm die schwierigsten Passwortregeln haben. Groß- und Kleinbuchstaben, mindestens 10 Zeichen, davon noch ein Sonderzeichen und mindestens ein Zahl und das ganze am besten bei Vollmond um Mitternacht bei einem Glas Menschenblut ändern.
Verstehe ich das bei 2FA aber richtig, dass ich auf Twitch meine Handynummer hinterlegen muss, die dann eventuell auch "gestohlen" und geleakt werden kann?
Die kannst du mit Sicherheit hinterher wieder löschen, wenn du auf App 2FA wechselst. Ansonsten würde es mich eher wundern, wenn deine Handynummer noch nicht in diversen Kreisen bekannt ist, so wie die allermeisten...
Nein, musst Du nicht. Hab 2FA heute erst aktiviert. Du musst einmal die Handynummer eingeben für die Freigabe-SMS. In den Einstellungen selbst kann man später optional die Mobilfunknummer eingeben. Das war bei mir nicht gesetzt nach der Aktivierung. Was natürlich nicht heißt, dass Twitch die intern doch irgendwo hinterlegt.
Ich weiß mein Passwort eh nicht mehr. Da kann ich es auch mal ändern. ;-)
Aber ALLE Passwörter und Quellcodes veröffentlichen ist schon krass. Da habe ich auch mit der Begründung nicht wirklich Verständnis für und hoffe, das wird strafrechtlich verfolgt.
Ich finde es auch bemerkenswert, auf 4Chan zu leaken und sich dann über toxische Communities zu beschweren.
So Typen gehörten für mich eingebuchtet, ohne Bewährung (und auf Schadensersatz verklagt). ;)
Da wurden auch teilweise wohl die Schutzmechanismen veröffentlicht, die Twitch vor Hacks schützen sollen. Das und das Veröffentlichen von den Userpasswörtern geht gar nicht. Damit schadet man der Allgemeinheit und nur in zweiter Instanz Twitch.
Das ist halt die typische Argumentation die man mittlerweile fast überall sieht: „Ich bin wirklich kein Arschloch da ich ja zu DEN GUTEN(TM) gehöre“. Jeder zieht irgendeine krude Begründung raus warum es für ihn ok ist anderen zu schaden. Alles Heuchelei um sein Verhalten zu rechtfertigen.
Ich sehe auch nicht wo das Twitch jetzt schaden soll. Die werden die Kosten die ihnen entstehen halt an Versicherung abschieden oder woanders wieder reinholen. Oder geplante Änderungen werden jetzt halt schneller umgesetzt. Den Schaden haben im Zweifelsfall irgendwelche User weil ihre Daten veröffentlicht wurden.
Passwort ändern und weiter gehts. Dank 2FA eh kein Stress hier :)
Security by obscurity funktioniert eh nicht. Gute Schutzmaßnahmen schützen auch bei full disclosure.
Oh, mein vermutetes Passwort war sogar richtig. Hab es nun aber geändert und bei der Gelegenheit noch die Verknüpfung mit Amazon gemacht, um dem GG-Kanal mein Abo zu schenken. ;-)
Wenn schon, denn schon. ;-)
Gute Idee! Mach ich auch gleich mal!
Gute Idee: Kann man mit in den Artikel aufnehmen :-D
Schon geändert. Von Password auf Passwort. Da kommt keiner drauf. Mann, bin ich ein Fuchs. Nicht so schlau, aber riech so.
*schmunzelt vor sich hin* ;-)
Pa55w0rt, nur Zahlen/Buchstabenkombinationen sind sicher :-)
Mein Passwort ist noch viel besser:
12345
12345? das ist ja komisch, ich habe die selbe kombination an meinem koffer
Das dritte Rädchen auf der rechten Seite enthält ein Fragezeichen? :-)
Koffer mit weniger als sechs Stellen sind nicht mehr sicher!
Wo ist nur die gigantische Weltraumputze?
immerhin einer ;P
Darauf gönnen wir uns eine Dose Perri-Air :)
„Nur ein Idiot würde für seinen Koffer so eine Code verwenden.“ ;)
LOL, sehr gut :-)
Danke für die Info hatte ich noch nicht mitbekommen. Habe gleich mal mein Passwort geändert.
Wie lauten denn eure Passworte so? Mir fällt nix ein, da kann ich mir vielleicht eins eurer Passworte ausleihen. Bitte Plattform und Usernames nicht vergessen. Dangö!
Amazon, Nutzername: ibimsderQ@bert.de Passwort: Ru11or!
Ich find das eigentlich ganz gut ;-)
Ohhh, du hast mich in deinem Nutzernamen verewigt oO
Das is ja lieb :)
WOPR: Joshua5
Nice One! ;-)
Willst du Krieg?
Ich schick dir gerne eine Excel-Liste mit all meinen Zugangsdaten zu.
Bitte nicht wundern dass es ein xlsm ist, und ja du musst die Makros ausführen sonst werden die PWs nicht angezeigt. Wie war noch gleich deine Mail-Adresse?
Was ist Excel? Aber Briefe find ich toll. Ich hab schon lange keine Post mehr bekommen <3
Q-Bert
Pixelstraße 1
SimCity
R0XX0RJoerg
hunter2
Zum Beispiel: D3nkD1rS3lb3rW4s4u$
Ja aber ist dieses Passwort denn auch sicher?
Mal abseits von allem Spaß: solche 1337-Speak-Passwörter sind auch nicht sicher, da sie bei Wörterbuchattacken leicht berücksichtigt werden können. Letztendlich geht es nicht darum, dass man das Passwort exakt errät, sondern dass man einfach von mehr oder weniger unzähligen Möglichkeiten auf ein paar Milliarden runterkommt.
Wenn man Wörterbücher mit gängigen Wörtern nimmt und die dann in diverse Leetspeak-Varianten umwandelt, bleibt die Anzahl der Versuche noch immer in einem Rahmen, den man in Stunden bis Tagen mit Brute Force geknackt hat.
Interessanter Artikel dazu:
https://arstechnica.com/information-technology/2013/03/how-i-became-a-password-cracker/
Muss sicher sein! In dieser Liste ist es nicht drin: https://raw.githubusercontent.com/danielmiessler/SecLists/master/Passwords/Common-Credentials/10-million-password-list-top-1000000.txt ;-)
Ein paar Milliarden Möglichkeiten dauern heute eher wenige Sekunden Rechenzeit.
Passwörter sollten aber auch einen Kompromiss zwischen Sicherheit und Praxistauglichkeit sein. "hfueBOUwHEFUW=8§U4?)0(z9FUG=pFH0FgQ§l" ist zwar technisch sicher wie die Hölle, aber niemand wird dieses regelmässig irgendwo eintippen, um es nach einem halben Jahr zu ändern und klebt es als Haftnotiz neben den Rechner oder speichert es im Browser.
Der sinnvolle Vorschlag des BIS ist es zwischen Komplexität und Länge abzuwägen: "Mut bedeutet nicht ein Leben zu nehmen, sondern es zu bewahren." ist also "genauso" gut wie "J0foN(?jwP9!"
Dein "D3nkD1rS3lb3rW4s4u$" trifft hingegen die Empfehlungen der NIST und mit Leerzeichen auch die des BIS.
Das Beispiel war nicht von mir. :-)
Mein Schema ist ein sehr langes Passwort aus mehreren Wörtern, die bewusst falsch geschrieben sind (in größerem Ausmaß als Leetspeak) und mit ein paar gut aussprechbaren Fantasiewörtern kombiniert werden.
Die sind immun gegen Wörterbuchattacken, zu lang für Brute Force und man kann sie leicht abtippen (wichtig für Endgeräte, wo der Passwortmanager nicht läuft, bspw. beim WLAN-Passwort) oder sogar merken.
Wo es mit Mail möglich ist, nehme ich auch 2FA. Per Smartphone aber nur in Ausnahmen. Sich von einem Gerät abhängig zu machen, was man die ganze Zeit mit sich herumschleppt, ist keine gute Idee. Und die gierigen Datenkraken sollen auch nicht meine Telefonnummer bekommen.
Wovon ich abraten würde, wären Passwörter mit Nicht-7-Bit-ASCII-Zeichen wie bspw. Umlauten. Dafür sind zu viele unfähige Programmierer da draußen. Ganz besonders welche aus den USA, die keinerlei Bewusstsein für solche Zeichen und keine passende Tastatur zum Testen haben (bzw. nicht wissen, was US international und IMEs sind). Man sollte meinen, dass 2021 Unicode Standard ist, aber spätestens wenn Programmiersprachen wie bspw. PHP für manche Zeichen noch immer extra Multibytefunktionen brauchen, setzt es da gern noch aus.
Ich frage mich, wie viele Japaner und Chinesen sich jedes Jahr irgendwo aussperren, weil sie Passwörter mit Kanji/Hànzì und damit 3-Byte-Zeichen verwenden, wo selbst deutsche Entwickler, die zumindest ein Gespür für 2-Byte-Unicodezeichen wie Umlaute, Akzente usw. haben, oft falsch programmieren.
Wer richtig riskant leben will, kann mal Emojis ausprobieren, v.a. die, wo man Geschlecht und Hautfarbe wählen kann. Die sind programmiertechnisch die problembehaftetsten. :-)
Manchmal reichen bereits ? und & im Passwort. Wie oft ich mich damit schon ausgesperrt habe ...
Plattform: Beliebige Pornoseite
Nutzername: LongJohnSilver
Passwort: Sexgod!!
Funktioniert nicht auf SeiMeinSklave.de und auch nicht auf GibMirDeinenSaft.tv.
1. Zwar Sex - Seite, aber keine Pornboseite
2. Nimm doch wenigstens was echtes wie https://bdsm-sklavenmarkt.club
Is ja der Hammer, die Webseite! Ich glaube, ich mache nen Tanga-Höschen-Handel auf... Tangastrings im Einkauf bei Amazon für 2,99 im 3er Pack, Stückpreis für die Sklaven: 50 Euro.
٩(- ̮̮̃-̃)۶
ich mach immer auf tastatur reihenfolge qwedsa oder andersrum auf irgendeiner position auf tastatur..darauf ist noch niemand gekommen. Hatte Glück.
Bei der Masse an Daten kann das doch nur ein Insider sein, oder? Die Begründung ist auf jeden Fall arschig, denn das mit den Passwörtern schadet echt nur Nutzern und nicht Twitch selbst...
Das deutet ja auch die Bezeichnung Leak an. Wäre es ein Hack, würde jemand groß tönen, dass er das geschafft hat.
Ja gut, das Argument lasse ich gelten. Mein Fehler.
bzgl. toxische Community jammern und sowas abziehen, genau mein Humor!
Das mit der toxizität verstehe ich ohnehin nicht ganz.
Zu faul zum PW ändern - ich hab einen zweiten Faktor eingerichtet ;)
dito.
die Twitch email-adresse gehört auch zum Viert-Anbieter und wird für keine wichtigen Seiten benutzt
Ich hab mir einmal ein Video von Montana Black angesehen, da hat er seine monatlichen You-Tube-Einnahmen ungeniert gepostet (so um die 75.000,-€) ohne Merchandise (Pullis Kaffeetassen und anderer Schrott) und ohne Twitch-Einnahmen. Ich schätze mal, dass dieser Online"star" monatlich so um die 200.000,-€ schäffelt. Da waren noch ein paar andere Videos von seinen zwei Wohnungen, seinem neu erstandenem Haus und natürlich sein zwei neuen Sportwagen Lamborghini und noch was anderes.
Der Punkt ist, am selben Abend hat er noch einen Livestream gestartet und dort haben sich zwei Kiddies einen Spendenwettbewerb von ihrem Taschengeld geliefert wo sie sich gegenseitig versucht haben zu überbieten, um auf der Plattform (Twitch) Spendenkönig zu werden.
Ich dachte mir so: Habt ihr nicht das Video von heute Morgen gesehen, wo er euch seine Gehaltsabrechnung in die Fresse gehalten hat? Diese Welt ist einfach nur noch obszön...
Ich behaupte mal, dass die Fans von diesem Proll jetzt nicht die hellsten Kerzen sind.
Die Welt ist geil und voller Möglichkeiten
Ich lese hier eine gehörige Portion typisch deutschen Neid heraus....
Neid ist nicht typisch deutsch, den gibts weltweit in jeder Nation.
Aber nicht jeder hat eine regelrechte Kultur drum gewoben! :)
Übertreib nicht. Das ist kein deutsches Problem, das ist ein menschliches Problem.
Es gibt aber schon Unterschiede.
Der Deutsche sagt "Alter, der verdient mit so ner Kinderkacke wie Streaming im Monat mehr als ich in 10 Jahren, da müsste es Gesetze gegen geben!" und denkt "Menno, warum passiert mir sowas nie?".
Der Amerikaner lächelt dich an und sagt "Awesome! Breathtaking! How gorgeous is that? You are so great!" und denkt "What a pitty asshole, can someone shoot'm in the head, please? Two bullets to make sure".
Eigentlich sind die Deutschen da ganz niedlich :]
Ich würde sagen, es ist typisch deutsch alles für typisch deutsch zu halten.
Das unterschreibe ich. Ganz toll auch immer, wenn ein Deutscher etwas als "typisch deutsch" deklariert und damit nie sich selber meint. Bei mir hat mal einer versucht, sich vorzudrängeln. Ich habe das nicht zugelassen. Was passierte? "Typisch deutsch, dass Sie glauben, dass ich mich vordrängeln wollte!"
Ihr seid ja auch typische Deutsche... ;P
Ja, wir sind alle Individuen :)
Wer sagt "Indie? Wie dumm!", der ist er ein Individuum.
Wer sagt "Indie? Nie genug!", der ist zudem noch klug.
Doch sind wir alle Frau und alle Mann, typisch alemán!
Und zudem weltbekannt für Spiele wie Industriegigant.
Neid verspüre ich keinen. Auch nicht bei den Maskendeals der Union. Die Cleverness spreche ich Montana Black nicht ab. Ist halt nur die Frage ob es gerecht ist, wenn eine Krankenpflegerin so gerade über die Runden kommt und sich ein Twitch-Streamer jeden Monat einen neuen Sportwagen kaufen kann. Klar, niemand wird gezwungen Krankenpfleger*in zu werden und jeder kann gerne dem Erfolg von Montana Black nacheifern, aber ist das wirklich die Botschaft, die wir jungen Menschen vermitteln wollen? "Natürlich darfst Du einen sozialen Beruf ergreifen, aber wunder dich nicht, wenn es dann nicht für die Miete reicht.".
Leider haben die Neoliberalen in Deutschland in den letzten 40 Jahren erfolgreich den Bereich "Neiddebatte" kultiviert, weswegen wir das einzige Land in Europa ohne Vermögenssteuer sind und eine Vermögensungleichheit haben, wie man sie sonst nur aus Entwicklungsländern kennt.
https://twitter.com/TheBigDataStats/status/1438836820230303746
Auf dieser Welt war nie etwas gerecht und wird es auch nie sein, dafür sind Menschen viel zu egoistisch. Klar, ich könnte mich jetzt auch mokieren dass zb Fussballer mittlerweile Summen verdienen bzw kosten wo jedes Maß verloren gegangen ist. Oder dass wir aus Atomkraft aussteigen, und gleichzeitig unsere Nachbarn drölftausend Werke bauen. Oder dass wir im Jahr so und soviele Tonnen Lebensmittel wegschmeissen, unter anderem Lebewesen die buchstäblich nur für den Müll gezüchtet werden, während gleichzeitig in dritte Welt Ländern Kinder an Hunger krepieren. Oder, oder, oder fängt man einmal an merkt man schnell dass es vieles Ungerechtes gibt, aber man daran rein gar nichts ändern kann. ;)
Man wird niemals alle Ungerechtigkeiten beseitigen können, aber in einem demokratischen Rechtsstaat sollte es schon der Anspruch sein diese etwas abzufedern. Vieles ist ja auch schon gerechter geworden. Als Frau muss man nicht mehr den Ehemann um Erlaubnis bitten, wenn man arbeiten möchte. Als Homosexueller muss man nicht mehr mit Strafverfolgung rechnen. Und als Arbeitnehmer hat man einen gesetzlichen Urlaubsanspruch und andere Rechte.
Stimmt, in einer funktionierenden Demokratie wie hier könnte man vieles machen. Aber bedenke mal wie lange es gedauert hat deine Beispiele umzusetzen. Und wie sich gesträubt wird bei wirklich wichtigen Sachen wie Klimaschutz auch mal unpopuläre Maßnahmen zu ergreifen. Es könnte ja Wählerstimmen kosten. :/
Und dass all deine Beispiele in vielen Ländern noch immer alles andere als normal ist. Ich hab zb nie nachvollziehen können warum manche Länder Homosexualität mit dem Tod bestrafen. Es ist ja nicht so dass man dies absichtlich ist. :(
Hmmm ich glaube ich werde dümmer. Die Quelle soll doch Credit-Suisse sein
https://www.credit-suisse.com/about-us/en/reports-research/studies-publications.html
Wenn ich mir die Graphen auf Seite 43 ansehe, haben doch nur etwa 10% der Deutschen einen Reichtum unter 10.000,- USD? Nur Australien und eventuell Japan weisen dort bessere Werte auf.
50 Prozent pfeffert er davon ans Finanzamt und dann noch weitere Prozente an seine Mitarbeiter
Jup, er nagt sicherlich nicht am Hungertuch, aber das ist auch definitiv kein Reingewinn.
Klingt so, als wäre es problematisch. Mag diese Streams auch nicht, aber wenn er damit Geld verdient? Super. Leute spenden freiwillig, ähnlich wie hier auf GG überbieten sich die einen oder anderen auch. Ist doch absolut ok. Wie alt und wie es um deren Finanzen steht wirst du nicht wissen können.
Geil wie Twitch mir nach dem Login völlig gamey und ungeniert sagt "Level up your password to make it more secure" (oder so) -- jedenfalls kein Wort von dem Leak oder so... ^^
Bei mir kam diese Meldung, direkt nachdem ich mein neues Passwort gespeichert hab, welches mir Twitch als sehr sicher eingestuft hat. :D
Das kommt glaube ich schon "ewig" damit man die 2fa aktiviert.
Dann sollen die das auch so in die Meldung schreiben. :P
Sind die geleakten Passwörter gehashed oder verschlüsselt ?
Bisher wurden noch gar keine Passwörter geleaked, aber der Leaker behauptet das wäre nur Teil 1, sie könnten also noch kommen und daher ist es generell eine gute Idee die Passwörter zu ändern.
Passwörter lassen sich nicht verschlüsseln, sie dürften also gehashed und gesalted sein, das ist der Industrie-Standard.
Idealerweise ja, gesalted ist leider seltener als man denkt. Verstehe bis heute nicht, dass das z.B. in der Active Directory nicht so ist (nach recht aktueller Aussage eines bekannten MVPs).
Natürlich könnte man Passwörter (symmetrisch) verschlüsseln ... man muß sich ja nicht einen Standard halten.
Das was du schreibst sind Vermutungen.
Sollten die Passwörter allerdings mit salt gehashed sein, besteht kein Grund das Passwort zu ändern. Dann wäre das Ganze, zumindest aus Sicht der Benutzer, Panikmache.
"Sollten die Passwörter allerdings mit salt gehashed sein, besteht kein Grund das Passwort zu ändern. Dann wäre das Ganze, zumindest aus Sicht der Benutzer, Panikmache."
Da muss ich dir widersprechen. Da ein Großteil der Passwörter schwach ist, werden die auf großen Plattformen geknackt. Wenn der Hash ohne Salt ist, kannst du davon ausgehen, dass zu 80% der Hashes bereits die Lösung bekannt ist.
Also wer per sè schwache Passwörter verwendet (und das mache zumindest ich nicht an enthaltenen Sonderzeichen etc. fest) ist immer in Gefahr, das diese durch Bruteforce-Attacken geknackt werden können.
Da beim Hashing auch in Iterationen gehashed wird (um Bruteforce-Attacken zu erschweren), halte ich es selbst ohne Salt für relativ unwahrscheinlich, dass für die Hashes bereits Lösungen vorliegen. Mit Salt schätze ich den Aufwand für so hoch ein, dass man sich da nur gezielt Leute rausgreift, bei denen sich das finanziell lohnen könnte.
In dem Datensatz sind nach meinem Stand die Passwörter enthalten. Gestern gab es zumindest schon diverse Meldungen, dass sie drin seien. Ich habe es noch nicht selbst überprüft
Es gab ein paar Behauptungen, dass Passwörter enthalten wären, weil die ursprüngliche Meldung war, dass "alles" geleaked wäre. Das hat sich aber nicht bestätigt, es sind bisher keine Passwörter aufgetaucht, so wie es aussieht wurde der Leak vorab um quasi alle persönlichen Daten (bis auf die Auszahlungen an die Streamer) gereinigt und ist stattdessen auf Twitch-Interna (Quellcode, SDKs, Interne Dokumentation etc.) fokussiert.
https://www.theverge.com/2021/10/6/22712250/twitch-hack-leak-data-streamer-revenue-steam-competitor
Wie auch in dem Artikel beschrieben heißt das nicht, dass der Leaker nicht Zugriff auf die Passwörter hatte, das ist sogar ziemlich wahrscheinlich. Weil die daher noch geleaked werden könnten ist es trotzdem eine gute Idee alles zu ändern, bisher gibt es aber keine PW-Leaks.
Danke für den Hinweis. Hatte heute noch nicht die Zeit groß nach Neuigkeiten dazu zu schauen. Mal gucken ob da wie angekündigt noch weitere Daten geleakt werden und was da dann so drin ist.
In vielen Meldungen wird zwar von verschlüsselt gesprochen aber sie meinen natürlich gehasht. Verschlüsseln würde in dem Zusammenhang wenig Sinn machen. Ob der Hash einen Salt hat, war gestern noch nicht bekannt. Das wird sich aber sicher noch klären.
Wenn die Twitch Datenbank richtig aufgebaut sind, sollten die Passwörter mindesten mit einer 256Bit Verschlüsselung gehasht abgespeichert sein.
Wenn man es selbst aufbaut machen manche oft den Fehler die Passwörter im Klartext zu speichern.
Heutzutage macht man aber so was fast gar nicht mehr selbst sondern speichert den Login Daten bei einer Middleware Firma.
Das kann man schon sehr gut selbst implementieren, indem man die richtigen Standardbibliotheken korrekt nutzt und konsequent Updates einspielt. Eine Speicherung bei Dritten bzw. die Nutzung einer anderweitigen Anmeldung - z.B. Facebook - ist nicht der Standard, vielleicht kommen wir da aber mal hin.
Was ist dieses Twitch eigentlich?
So ne Comedy-Sendung auf Pro7. Gab es dann später auch als "Reloaded" Version.
Der ist flach, aber hat mir sehr gut gefallen :-)
Eine Nintendo-Konsole mit Sprachfehler.
Aua.. auch nicht schlecht ^^
Hehe, das könnten lustige Zeiten werden für Twitch-Verdrahtete (und dabei ist die Sache mit den Passwörtern wirklich die allerkleinste Geschichte in diesem Hack).
Wenn da einmal komplett die Firma in nem Zip rausgetragen wird. Source-Code mit allen Repositories?! TwitchTV? Alle Security-Tools ... DAS nenn ich mal einen Super-GAU.
Und das ganze soll ja evtl auch nur Teil 1 sein... weiss nicht was Teil 2 dann wäre? Die komplette Userbase mit Anschriften / Kredidaten / Bankverbindungen ?! Who knows...
Hätte ich was im Web wo Twitch drinne wäre (oder Games) ... die sind alle kompromitiert. Denke das wird noch nen grosses Nachbeben haben.
Die können ja nicht Jahre ihrere Arbeit mal so über Nacht komplett umstellen.
Gruselig.
Danke für den Hinweis, ich habe gleich mal mein Passwort geändert...
Twitch ist ja lustig, sie weisen nach dem Login darauf hin, dass mein Passwort "anfällig für Hacker" wäre, so als sei das meine Schuld xD
Die Zwei-Faktor-Authentifizierung (2FA) Aktivierung hätte in diesem Fall auch nichts gebraucht.
Die 2FA schützt nur davor, das sich jemand direkt mit meinen Daten einloggen kann. Dann aber durch die fehlende APP nicht weiter kann.
So ein Login mit den geklauten Daten findet aber nur sehr sehr selten statt. Denn oft haben die Hacker schon alle Persönlichen Daten weil der Server selbst gehackt wurden, wie in diesem Fall auch.
Also was soll der Hacker dann sich die Mühe machen sich bei mir ein zu loggen, wenn da nichts drin ist, was er eh schon hat.
Da meldet man sich wegen GG bei Twitch an und dann so Etwas. *Grummel*
Erst seit GG da mitmischt ist Twitch für Hacker interessant. Vorher war das nur irgendsoeine Nischenplattform! ;)
So wird es sein!
Oder: Vorher waren da nur Kiddies mit Taschengeld (siehe oben), jetzt kommen die bei denen es sich lohnt.
Ich mach ja schon Platz für Olphas und D...anny.
Anscheinend hats ein Hacker auf Jörg abgesehen;-) Vlt Ex GG User
Wo steckt denn der Kritische Allesnutzer schon wieder?
Passwörter im Klartext, Paypalkonten und Emailadressen sind wohl doch mir im Leak dabei. Außerdem sollen viele Adressen und Telefonnummern der Twitch-Mitarbeiter veröffentlicht sein.
https://threatpost.com/twitch-leak-emails-passwords/175390/
Interessante Meldung. Diverse große Portale (heise, Bleepingcomputer, etc) haben den Leak auch schon untersucht und bislang wie Twitch selbst, verneint, dass Credentials enthalten seien. Mal schauen was da noch rauskommt.
Der Screenshot mit dem PW im Klartext sah aber eher danach aus, das es die Verbindung zur DB ist. Wüsste jetzt auch nicht wie man in nem Quell-Text mit nicht Klartext-Passworten jemals ne DB verbindung aufbauen will.
Im "normalfall" bricht ja jemand in die DB ein mit ner Injection, Backdoors oder ausnutzen von Fehlern / Socialhacking, so das die DB-Daten rausgetragen werden.
Wenn die aber halt gleich noch alle Sources mit raustragen, bist eh im Eimer.
Ich sag ja immer noch: Das da Useraccounts ggf kompromitiert sind ist nur die sptize des Eisbergs und in ein paar Wochen/Monaten wird jeder mit ner Twitch-Integrierung nen böses erwachen haben. Was nützen alle Passwörter der Welt, wenn die Welt weiss wie deine Kommunkation abläuft und sich einfach dazwischen schaltet (Man-in-the-Middle Attack).
Fun Times! ;)
Bei dem Screenshot stimme ich dir zu. Wie der die Userdaten in Klartext beweisen sollte, ist mir auch nicht ganz klar. Dass die tatsächlich auch in der DB ungehashte Passwörter verwenden, würde mich heutzutage stark wundern, auch wenn ich es lieber nicht ausschließen will. Deswegen auch die gewählte Formulierung im Update.
Ein Problem für Twitch sind halt auch die Internas zur IT-Sicherheit ihres Systems. Wenn dein Gegner detailliert deinen Plan zur Abwehr kennt, ist das suboptimal. Dazu noch der nun bekannte Sourcecode. Das wird eine spannende Zeit für Twitch.
Ich habe auch so mein Problem mit der Formulierung einer Fehlkonfiguration eines Servers. Wenn meine Kronjuwelen ungeschützt irgendwo rumliegen, läuft etwas fundamental falsch. Das wäre ja so als würde eine Bank ihr Geld unbewacht in nem öffentlichen Park auf nen großen Haufen werfen und sich wundern wenn hinterher was fehlt.
Na super und wieder Passwort ändern... nervt.