Niebezpiecznik

Jak informuje notatka na blogu Twitch, właściciele podejrzewają, że miał miejsce “nieautoryzowany dostęp do części kont”. Nie wymieniają jednak ilu, co oznacza, że albo tego nie wiedzą, albo liczba jest znacząca.

Na wszelki wypadek użytkownikom Twitcha wygaszono klucze streamingu i zresetowano hasła oraz odłączono konta od zewnętrznych serwisów (Twitter i YouTube).

Dodatkowo, użytkownicy proszeni są o zmianę haseł w innych serwisach (jeśli gdzieś korzystali z tego samego hasła co do Twitch.tv) — to sugeruje, że “nieautoryzowany dostęp do części kont” mógł być poprzedzony kradzieżą bazy danych serwisu.

Trochę więcej światła na incydent rzuca e-mail do czytelników — czytamy w nim, że:

Wykradzione mogły zostać takie informacje jak twój login do Twitch, adres e-mail, hasło, adres IP ostatniego logowania oraz inne dane, które mogłeś nam podać (imię i nazwisko, adres, numer telefonu i datę urodzenia). O ile w bazie przechowujemy hasła w sposób kryptograficznie przetworzony, to jest możliwe iż ktoś pozyskał twoje hasło (podane jawnie) podczas logowania na naszej stronie w dniu 3 marca.

Z powyższego wynika, że w serwisie mógł znajdować się błąd persistent XSS (a złośliwy skrypt atakującego wykradał wprowadzane na stronie dane) lub ktoś, kto uzyskał dostęp do bazy danych lub plików serwisu, zmodyfikował jego szablon tak, aby zawierał dodatkowy, złośliwy kod.

Dziękujemy czytelnikom whd, Łukaszowi, Pawłowi i Alkowi za podesłanie informacji o wycieku danych.

Przeczytaj także:

• G4G.pl – wykradziono hasła i dane klientów
• Włamanie do Ubisoftu — wykradziono dane graczy
• Wyciek 11 milionów hashy haseł z Gamigo