Der Twitch-Hack – und was er verursacht

„widerliche, toxische Jauchegrube“ -Twitch-Streamer ist etwas, dass man in diesen Wochen wohl eher nicht sein will. Das Livestream-Portal ist Opfer eines großen Hacks geworden, dessen Folge ein großer Datenleck ist. Um die 135 Gigabyte an Daten sind der breiten Öffentlichkeit zugänglich gemacht worden. Das soll jedoch nur der Anfang sein.

Also eigentlich hatte ich im Artikel zur neuen Homepage indirekt erwähnt, dass es hier im Blog erstmal ein wenig ruhiger bleibt. Grund dafür ist zum einen der Aufbau von DNSChoice.eu und zum anderen „berufliche Bindungen“.  Aber dann – Zack! Twitch gehackt! Und der Hack hat es in sich! Inzwischen werden immer mehr Hintergrundinformationen bekannt. Sieht alles nicht so gut aus für Twitch.

Es ist anscheinend nur die Spitze des Eisbergs! Der nun bekannte Leak, ist anscheinend nur einer von vielen – denn die anonyme Gruppe hat ankündigt noch viel mehr Daten zu haben. Nun ist aber auch schon der erste Leak „besorgniserregend“, um es mit den Worten von Twitch zu sagen.

Was ist alles drin? 

Naja, zu einen die Einnahmen größerer Streamer seit Mitte 2019, zumindest die systematischen – laut Rechtsanwalt Christian Solmecke (der einige der Streamer vertritt) sollen das bei denen wohl nicht die wirklichen Einnahmen sein – die seien wohl höher. Die Daten kann man sich jetzt bequem auf https://twitchpayouts.com/ ansehen. Was für eine Transparenz.

Unbannbar?

Aber da ist ja noch mehr in den 135 Gigabyte an Daten. Immer wieder kommen neue Details an Licht aus dem Leak. So führt die Plattform laut einem SubReddit eine Nicht-Bannen-Liste. (Bannen bedeutet so viel wie sperren.) Gibt es also Nutzer auf Twitch die tun und lassen können, was Sie wollen, ohne gebannt zu werden?

Bei näherer Betrachtung ist das keine Nicht-Bannen-Liste und sie ist veraltet. Das sieht entweder nach einer Liste mit abgelehnten Bannanfragen, oder einer Liste mit möglichen Bann-Anfragen, die abgelehnt werden müssen, aus. So sieht man – als kleinen versuch, einen Beweis zu präsentieren- dass der Twitch-Kanal des CEOs niemals gebannt werden darf, und dann ist weiter unten noch der Kanal der RocketBeans, der hier für „non Gaming“ drinsteht.

Direkt dahinter kommt allerdings der Zusatz „Festival Content – Thurs 6\/30 and Fri 7\/1 only“ … tja … was soll ich sagen … die RocketBeans, ein Gaming Kanal, haben am 30.06.2018 das Event „Final Table“ veranstaltet – ein reallife Poker-Turnier – also streng genommen kein Gaming-Content. Dazu muss man wissen, dass auf Twitch bis 2016 nur Content erlaubt war, der Bezug auf Gaming hatte. Vielleicht hatten die eine Absprache mit dem Kanal. Lauscht der Wikipedia:

„Am 15. Dezember 2016 führte Twitch die Kategorie IRL („In Real Life“) ein, die es erlaubt, mit dem Publikum Geschehnisse aus dem eigenen Leben zu teilen und Diskussionen zu führen. Hierbei ist nicht zwingend ein Bezug zu Videospielen erforderlich, solange aktiv auf die Zuschauer eingegangen wird.“

Twitch – Wikipedia

Klar ist das heute nicht mehr so, aber damals war halt der Umbruch in die neue Zeit. Deswegen steht auch überall „non gaming“ drin. Für den Grund würde man heute so ohne weiteres nicht mehr gebannt werden, zumindest nicht nur dafür, früher zu den Anfängen war das halt so.

Zeig mir deinen Code!

Dann haben wir da noch Quellcodes, die veröffentlicht wurden. Quellcodes sind die Programmierung eines Dienstes- oft sind Sie Nutzern nicht zugänglich, da sie hierdurch Wissen erlangen können, welches sie nichts besitzen sollten. Mit einem Quellcode lassen sich nämlich zum Beispiel viel leichter Schwachstellen in der Programmierung auffinden. Das schafft man sonst nur durch zeitaufwändiges Reverse-Engineering.

Amazon zum Beispiel, welches Twitch gekauft hat, will wohl in den Markt des Digital-Gamings einsteigen und entwickelt deshalb an einem Dienst der Steam, Origin und Co. Konkurrenz machen soll. Natürlich darf da die nähe zu Twitch nicht fehlen. Deshalb ist es auch nicht verwunderlich, dass der Quellcode des noch nicht fertiggestellten Dienstes (oder zumindest einer Schnittstelle dazu) sich bei Twitch befindet. Und der ist jetzt auch geleakt worden. Der Projektname lautet anscheinend „Vapour“ – bis jetzt findet man aber zu dem Namen in Verbindung mit Amazon nichts weiter als verschiedene Alben Musik Lustig ist aber: „Vapour“ heißt auf Deutsch „Dampf“, Steam heißt auf Deutsch … „Dampf.“ Hm. Wer da nichts Böses denkt…

Jeff Bezos beobachtet dich!

Tja, leider hat der Leak noch mehr Quellcode in sich, den sich eifrige Nutzer nun einstudieren und damit Späßchen treiben.

So gab es letztes Wochenende eine Kuriosität. Fast überall auf der Plattform waren Hintergrundbilder von Nutzerprofilen oder Einträgen zu spielen, durch eine ungünstige Aufnahme von Amazon-Gründer Jeff Bezos ersetzt worden. Um diesen „großartigen“ Zustand der Seite nie mehr wieder zu vergessen, haben Nutzer ihn direkt in Online-Archive hochgeladen. Beispielsweise die Seite zu Dota 2: https://archive.is/jtV7e  

Und so wird es das Internet – dem Sprichwort folgend – nie wieder vergessen. Zwar gibt es offiziell keine Info, dass dies mit dem Leak zusammenhängt, aber es ist mehr als wahrscheinlich. Entweder ist es das Werk der Leaker, oder einer Person, die den Leak studiert und für seinen Spaß genutzt hat.

Ja, das ist im ersten Moment lustig, aber wir müssen jetzt leider auch wieder Ernst werden.

Zeit zum Weinen

Betroffen sein sollen wohl laut einem Bericht von Golem auch Passwörter, E-Mail-Adressen, PayPal-Konten und so weiter … und da wird es ernst.

Twitch bietet Nutzern die Möglichkeit, seine Streamer finanziell zu unterstützen, deshalb lässt sich der Dienst mit Zahlungsanbietern verknüpfen. Nun sagte Twitch in seinem Posting, dass Kreditkarten-Daten nicht betroffen sein sollen, aber A) ob das stimmt? und B) was ist mit den anderen Daten? Hier sind Gewinnzahlen von Nutzern öffentlich geworden, das ist damit gleichzusetzen, dass Ihnen jemand Ihre Kontoauszüge klaut und überall Kopien davon hinhängt. Hier geht es um sensible Daten. Artikel-9-Daten, um mit den Worten der DSGVO zu sprechen, aber das kommt gleich noch.

Twitch gehört zu Amazon, und dass ist in diesem Fall sehr scheiße. Vermutlich haben die meisten Ihr Twitch-Konto mit Amazon verknüpft, das war (ob es immer noch so ist, ist mir unbekannt) ein Vorteil für Amazon-Prime-Mitglieder. Die konnten nämlich dadurch Twitch-Prime verwenden. Bei Twitch-Prime können Sie (innerhalb von bestimmten Zeiträumen) mit einer finanziellen Spende einen Streamer Ihrer Wahl unterstützen, ohne dies bezahlen zu müssen – das haben Sie nämlich schon indirekt mit der Zahlung Ihrer Prime-Mitgliedschaft getan. Dafür muss jedoch das Twitch-Konto mit dem Amazon-Prime-Konto verbunden sein. Ich habe diese Verbindung heute gekappt. Denn ich will nicht wissen, was diese Verbindung auf technischer Ebene noch alles möglich macht. Ich kann ja nur heilfroh sein, dass Twitch-Konten und Amazon-Konten noch getrennt sind und nicht verschmolzen wurden.

Conection, Connecting, Connewitz

Joar, Twitch bietet noch mehr Verbindungen an:

  • Zu Ubisoft Drops
  • Zu RiotGames
  • Zu Twitter
  • Zu YouTube
  • Zu Steam
  • Zum Blizzard Battle.net

Dabei sind auch die Funktionen der Verbindungen recht interessant. Die Verbindung mit YouTube zum Beispiel, erlaubt das Exportieren von ausgewählten Streams. Das heißt dann wohl technisch gesehen hat das Twitch-Konto die Berechtigung, Videos auf den Verknüpftem YouTube-Account hochzuladen? Oder wie ist das geregelt?

Ich glaube dieser Leak hat es in sich und ich kann mir nur vorstellen, was noch für Informationen ans Licht kommen werden.

Wie immer gilt also: PASSWORT ÄNDERN! – Nicht nur vom Twitch-Konto, sondern auch von allen Verbundenen Accounts -auch Amazon.

Reaktion von Twitch

Am 15. Oktober reagierte Twitch erneut:

Es wurden keine Twitch-Passwörter veröffentlicht. Wir können außerdem bestätigen, dass nicht auf unsere Systeme zugegriffen wurde, die Twitch-Anmeldedaten speichern (welche mit bcrypt gehasht werden). Es erfolgte auch kein Zugriff auf vollständige Kreditkartennummern oder ACH-/Bankdaten.

[…]

Wir nehmen unsere Aufgabe, deine Daten zu schützen, sehr ernst. Wir haben Maßnahmen ergriffen, um unseren Dienst noch sicherer zu machen, und entschuldigen uns bei unserer Community.

Updates on the Twitch Security Incident | Twitch Blog

Eine deutliche, ehrlich klingende wenn auch etwas karge Information.

Konsequenzen

Naja, wir haben hier eine Plattform die Opfer eines Datenlecks geworden ist. Das Problem, sie ist selbst schuld. Twitch hat ja indirekt zugegeben, dass es ein Konfigurationsfehler war – also gleichzusetzen mit einer Lücke in einem Computerprogramm. Aus Sicht der in der EU – und damit auch bei uns in Deutschland gültigen – Datenschutz-Grundverordnung, ist das was hier passiert ein Datenleck in Folge von fehlenden oder unzureichenden Sicherheitsvorkehrungen. Der Fachbegriff lautet Technisch- organisatorische Maßnahmen. Diese wurden hier entweder gar nicht oder nur unzureichend umgesetzt. Daraus hat sich dann ein „Datenschutz- und Sicherheitsvorfall“ entwickelt.

Ob Vorfall oder nicht, Twitch ist Ihnen als Verantwortlicher gegenüber Auskunftspflichtig ob und wie Ihre personenbezogenen Daten verarbeitet werden und muss nachweisen, dass diese Verarbeitung mit der DSGVO konform ist. Ich muss aber gleich sagen: Wenn die Leaker recht behalten und Sie ein Twitch-Konto haben, dann sind Sie vom Datenleck betroffen. Die Frage ist dann nicht „ob?“, sondern „Wie schwer?“ Das würde aber auch heißen, dass Twitch Ihre Daten nicht konform verarbeitet hat, denn es hat zugelassen, dass sie in Fremde gelangen konnten. Wenn Sie sich beschweren möchten, können Sie das bei einer Aufsichtsbehörde für den Datenschutz machen. Damit es am schnellsten geht, wendet man sich in der Regel an die Aufsichtsbehörde, die für Twitch zuständig ist.

Zuständig für Twitch in der EU ist … naja, das ist – wie vermutlich absichtlich gewollt – nicht sehr leicht rauszufinden. Aber das kann Ihnen egal sein. Ihre Beschwerde können Sie auch bei der Aufsichtsbehörde Ihres Bundeslandes einreichen, da wird Ihnen von der Verordnung her freies Spiel gelassen.

Fazit

Die Leaker schreiben zu Twitch: „Die Community ist eine giftige Jauchegrube, daher wollen wir den Betrieb stören und die Konkurrenz im Online-Streaming-Markt fördern.“ Ich würde nicht sagen, dass Twitch eine Jauchegrube ist. Die Idee und wie sie von vielen Streamern umgesetzt wird ist gut und sozial und großartig. Auch wenn das manchmal zu unangenehmen Nebenwirkungen führt, die dafür sorgen, dass eine Community von Ihrem Streamer abhängig wird und ihn bedingungslos verteidigt – auch wenn er im Unrecht ist. Aber die Grundidee ist eine gute. Der Leak wird allerdings dafür sorgen, dass es großen Ärger gibt und ich hoffe Twitch lernt daraus. Sterben wird die Plattform nicht, Amazon hat ein großes Interesse am Erhalt und eine wirkliche Alternative gibt es nicht. Ich glaube die Ambitionen der Leaker sind etwas hoch. Ich habe mich Ende 2020 über YouTube aufgeregt und da schon gesagt, dass YouTube nicht sterben wird, weil es zu mächtig ist. Das gilt auch für Twitch, es gibt Konkurrenz aber keine um die man sich allzu großen Sorgen machen muss. Aber Twitch muss etwas ändern an seiner Sicherheit. Nd Sie müssen für Ihre Fehler büßen, ein Bußgeld sollte auf jeden Fall veranlasst werden. Also Twitch, gesteht euch euren Fehler, in voller Gänze endlich ein. Lebt mit den Konsequenzen und bessert nach! Das, sind eure großen Hausausgaben!

  • Patrick Schneider (24.10.2021)

Quellen:

Interessante Ähnliche Themen von externen Anbietern

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert