Twitch potwierdza - hasła nie wyciekły
Twitch zapewnia, że hasła do serwisu oraz dane dotyczące kart kredytowych i kont bankowych jego użytkowników są bezpieczne. Nie były częścią wielkiego wycieku z 6 października.
Krystian Rzepecki
- Twitch potwierdził, że hasła do kont użytkowników nie były częścią kradzieży z 6 października,
- dane logowania do serwisu, numery kart kredytowych oraz informacje bankowe są szyfrowane i bezpieczne,
- według Twitcha, wyciek dotyczył małej części użytkowników, a jego znaczenie było „minimalne”.
Twitch zamieścił na swoim blogu notkę o zakresie ostatniego dużego wycieku danych z serwisu, o którym szerzej pisaliśmy tutaj. Według wpisu złodzieje wykradli głównie dokumenty z repozytorium kodu źródłowego oraz część zbioru dotyczącego wypłat niektórych streamerów. Dane logowania do kont użytkowników, a także informacje dotyczące kont bankowych oraz numerów kart kredytowych pozostały nienaruszone. Według Twitcha są one haszowane funkcją bcrypt (opartą na algorytmie szyfrującym Blowfish) i nie były częścią wycieku. Potwierdziło to wcześniejsze informacje, jakoby hasła pozostały bezpieczne.
Hasła do kont nie zostały ujawnione. Jesteśmy pewni, że systemy przechowujące dane logowania do Twitcha, które są haszowane za pomocą funkcji bcrypt, nie zostały udostępnione, podobnie jak pełne numery kart kredytowych lub informacje bankowe.
Potwierdzono, że wyciek był spowodowany niepoprawną konfiguracją serwera, która umożliwiła nieautoryzowany dostęp do danych. Dokonano dokładnego przeglądu informacji zawartych w ujawnionych plikach i „dotyczą one jedynie niewielkiej części użytkowników”, a ich „wpływ na klientów jest minimalny”. Twitch kontaktuje się z osobami, których bezpośrednio dotyczy zdarzenie. Przeproszono także użytkowników serwisu i zapewniono o podjęciu odpowiednich działań w celu uniknięcia podobnej sytuacji w przyszłości:
Traktujemy bardzo poważnie odpowiedzialność za ochronę Twoich danych. Podjęliśmy kroki w celu dalszego zabezpieczenia naszych usług i przepraszamy naszą społeczność.
W wyniku ostatniego wycieku danych z Twitcha opublikowany został m.in. kod źródłowy serwisu, raporty o zarobkach streamerów za lata 2019-2021 oraz pierwsze informacje na temat platformy Vapor od Amazon Game Studios, która ma stanowić konkurencję dla Steama – łącznie ponad 125 GB danych. Incydent nie był zaskoczeniem dla byłych pracowników Twitcha, o czym pisaliśmy tutaj.
Komentarze czytelników
lubieerror Centurion
Widzę, że śpieszyli się z tą informacją :/
Tak, wiem, dochodzenie... ale akurat "Według Twitcha są one haszowane funkcją bcrypt (opartą na algorytmie szyfrującym Blowfish)" mogli przekazać od razu (chyba, że mają kopię plaintextem i sprawdzali, czy ona nie wyciekła ;) ).
lubieerror Centurion
Przy okazji dla ciekawskich o bcrypt (bo akurat użycie w nim Blowfish jest imho najmniej interesujące i najmniej mówi):
Trochę teorii za wikipedią:
Besides incorporating a salt to protect against rainbow table attacks, bcrypt is an adaptive function: over time, the iteration count can be increased to make it slower, so it remains resistant to brute-force search attacks even with increasing computation power.
A teraz po ludzku:
Wykorzystuje on fakt, że hashowanie haseł nie jest czymś, co trzeba robić super często, więc może być stosunkowo wolne/zasobożerne. Dla serwisu nie robi to dużej różnicy, ale dla atakującego, który musi sprawdzić wiele kombinacji koszt i czas operacji jest znacznie wydłużony nawet dla względnie prostych haseł ([ilość kombinacji] * [czas hashowania 1 hasła]).
Co więcej! Oferuje on możliwość zwiększenia czasu potrzebnego na stworzenie hasha, co pozwala walczyć z rosnącą mocą oprogramowania - tj. można sprawić, że to samo hasło, które np. (teoretyczny przykład, żeby zobrazować) 10xGTX 950 zgadywały po 1 miesiącu pracy po "ulepszeniu hasha" może wymagać 3 miesięcy pracy dla 10xRTX 2080.
Dodatkowo wymaga "soli" (salt), która tl;dr jeszcze bardziej utrudnia atakującym robotę (nie można używać "rainbow tables", ale o tym nie będę się już rozpisywał).
Więcej informacji dla ciekawskich:
[Ctrl+F "3. BCrypt"] https://sekurak.pl/kompendium-bezpieczenstwa-hasel-atak-i-obrona/
Angielskie
https://en.wikipedia.org/wiki/Bcrypt
https://en.wikipedia.org/wiki/Rainbow_table
zanonimizowany1355283 Generał
Sorry, ale jakoś w to nie wierzę. Niech każdy lepiej jest zmienić hasła na wszelki wypadek. Przezorność zawsze ubezpieczony.
keeper_4chan Generał
Pewnie hasła były zapisane na zewnętrznym dysku, który był odłączony w czasie ataku.
GRYOnline.pl:
tvgry.pl:
