Twitch a déclaré que les mots de passe n’ont pas été exposés lors de l’important vol de données de la semaine dernière.
« Les mots de passe Twitch n’ont pas été exposés », a déclaré Twitch dans une mise à jour de sa page web sur l’incident de sécurité. « Nous sommes également convaincus que les systèmes qui stockent les identifiants de connexion de Twitch, qui sont hachés avec bcrypt, n’ont pas été consultés, pas plus que les numéros de carte de crédit complets ou les informations ACH / bancaires. »
La semaine dernière, ce qui semblait être une fuite de code source pour Twitch a frappé le web, et dans la mise à jour de vendredi, Twitch a confirmé que c’était le cas. « Les données exposées contenaient principalement des documents provenant du dépôt de code source de Twitch, ainsi qu’un sous-ensemble de données de paiement des créateurs », a déclaré la société. Twitch affirme que les informations exposées « n’ont affecté qu’une petite fraction des utilisateurs, et que l’impact sur les clients est minime », et elle dit qu’elle assure un suivi direct avec ceux qui ont été touchés.
Les sources qui ont parlé à The Verge la semaine dernière ont dressé le portrait d’une entreprise ayant de mauvaises pratiques de sécurité et ont détaillé un problème de sécurité non signalé auparavant qui a eu lieu en 2017. Jeudi, Vice a fait état d’un autre piratage massif qui s’est produit en 2014. Dans la mise à jour de vendredi, Twitch a déclaré avoir « pris des mesures pour sécuriser davantage notre service. »
Retour sur l’incident
Declaration Twitch du 15/10/2021 @ 8:00
L’incident résulte d’un changement de configuration du serveur qui a permis un accès inapproprié par un tiers non autorisé. Notre équipe a pris des mesures pour corriger le problème de configuration et sécuriser nos systèmes.
Les mots de passe de Twitch n’ont pas été exposés. Nous sommes également convaincus que les systèmes qui stockent les identifiants de connexion de Twitch, qui sont hachés avec bcrypt, n’ont pas été consultés, pas plus que les numéros de carte de crédit complets ou les informations bancaires / ACH.
Les données exposées contenaient principalement des documents provenant du dépôt de code source de Twitch, ainsi qu’un sous-ensemble de données de paiement des créateurs. Nous avons procédé à un examen approfondi des informations contenues dans les fichiers exposés et nous sommes convaincus que cela n’a touché qu’une petite fraction des utilisateurs et que l’impact sur les clients est minime. Nous sommes en train de contacter ceux qui ont été touchés directement.
Nous prenons notre responsabilité de protéger vos données très au sérieux. Nous avons pris des mesures pour sécuriser davantage notre service, et nous nous excusons auprès de notre communauté.
Twitch
Declaration Twitch du 07/10/2021 @ 01:00
Mises à jour concernant les clés de flux
Par excès de prudence, nous avons réinitialisé toutes les clés de streaming. Vous pouvez obtenir votre nouvelle clé de streaming ici : https://dashboard.twitch.tv/settings/stream.
En fonction du logiciel de diffusion que vous utilisez, il se peut que vous deviez mettre à jour manuellement votre logiciel avec cette nouvelle clé pour lancer votre prochain streaming :
- Les utilisateurs de Twitch Studio, Streamlabs, Xbox, PlayStation et Twitch Mobile App n’ont rien à faire pour que votre nouvelle clé fonctionne.
- Les utilisateurs d’OBS qui ont connecté leur compte Twitch ne devraient pas non plus avoir besoin de faire quoi que ce soit. Les utilisateurs d’OBS qui n’ont pas connecté leur compte Twitch à OBS devront copier manuellement leur clé de streaming depuis leur tableau de bord Twitch et la coller dans OBS.
- Pour tous les autres, veuillez vous référer aux instructions de configuration spécifiques du logiciel de votre choix.
Declaration Twitch du 06/10/2021 @ 22:30
Nous avons appris que certaines données ont été exposées à l’internet en raison d’une erreur dans un changement de configuration du serveur Twitch, et qu’un tiers malveillant y a ensuite eu accès. Nos équipes travaillent en urgence pour enquêter sur l’incident.
Comme l’enquête est en cours, nous sommes encore en train de comprendre l’impact en détail. Nous comprenons que cette situation soulève des inquiétudes, et nous voulons en aborder certaines ici pendant que notre enquête se poursuit.
Pour l’instant, rien n’indique que les identifiants de connexion ont été exposés. Nous continuons à enquêter.
De plus, les numéros de carte de crédit complets ne sont pas stockés par Twitch, donc les numéros de carte de crédit complets n’ont pas été exposés.
Twitch