Twitch bietet nur lasche Sicherheitsvorkehrungen

iToms

iToms

Redakteur
Thread Starter
Mitglied seit
25.11.2011
Beiträge
2.016
<p><img style="margin: 10px; float: left;" alt="twitch" src="/images/stories/logos-2013/twitch.jpg" />Streamingportale wie <a target="_blank" href="http://www.twitch.tv/">Twitch</a> oder <a target="_blank" href="http://www.hitbox.tv/">Hitbox</a> sind sehr beliebt, um Spielelivestreams zu realisieren und zu monetarisieren. Zahlreiche deutsche Youtuber und Streamer tummeln sich bereits auf der Plattform und auch der 24/7-Livesender Rocketbeans.tv nutz die Plattform, um sein Programm auszustrahlen. Essentiell für jeden Streamer ist natürlich der Account, über welchen alles konfiguriert wird und über den er auch die Zuschauerschaft erreichen kann.</p>

<p><img alt="twitch" src="/images/stories/newsbilder/tfreres/2015/twitch.JPG" height="334" width="600" /></p>

<p>Oft wird jedoch bei...<br /><br /><a href="/index.php/news/software/browser-und-internet/37496-twitch-bietet-nur-lasche-sicherheitsvorkehrungen.html" style="font-weight:bold;">... weiterlesen</a></p>
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
"Monetarisieren". Früher nannte man das beim Namen: Prostitution.
 
so man kann sich in Accounts einloggen ohne Passwort sobald man die jeweilige email hat?

muss ich gleich mal ausprobieren.

edit:
ne das geht nicht, ihr wurde anscheint nur das email Passwort geklaut durch phishing.
Und jetzt soll twitch die Sicherheit erhöhen? rofl


hätte mich aber auch sehr stark gewundert, denn man sieht oft bei sehr großen Streamern das sie ihre emails nicht verdecken.
 
Zuletzt bearbeitet:
BrennPolster schrieb:
ne das geht nicht, ihr wurde anscheint nur das email Passwort geklaut durch phishing.
Zum Vergrößern anklicken....
Nein
Dabei war es ohne Bestätigung möglich, die E-Mail-Adresse und das Passwort zu ändern, sobald man einmal im Account drin ist.
Zum Vergrößern anklicken....
D.h. der Täter ist irgendwie an eine aktive Session gekommen und konnte damit sowohl Passwort als auch Mail ändern. Und Twitch hat die Änderungen offenbar umgesetzt ohne nochmals nach dem Passwort zu fragen oder eine Bestätigungsmail an die ursprüngliche Mail adresse zu senden.
Das handhaben andere Seiten definitiv anders. Beim Board dieses Forums hier ist es auch nicht so.
 
also hat er es geschafft das die streamerin ein Programm oder nen Link für ihn öffnet, damit er cookies abfragen konnte.
ist für mich auch phishing.


twitch hat Millionen von Streamer, das wäre aufgefallen.

Oder hatte sie beim streamen ihren OAuth Key gezeigt?
Das ist auch eigene schuld.
 
Zuletzt bearbeitet:
Um mal auf die Kommentare hier einzugehen: Nein, ich habe weder ein Programm, Virus oder ähnliches von dem Hacker auf den PC gepflanzt bekommen noch habe ich einen Link geöffnet. Auch der Auth Key wurde nicht gezeigt. Ich streame nicht erst seit zwei Tagen.

Nein der Hacker ist seit sehr langer Zeit schon im Geschäft. Er hackt regelmäßig tausende von unmigrated Minecraft Accounts und verkauft sie. Er scheint zudem Programme gefunden zu haben mit denen er Twitch Konten knackt die die Two Step Authentifizierung nicht aktiv haben. Da mein Passwort nicht das längste war, konnte er das recht leicht knacken. Da ich seinen Twitteraccount kenne über den er mich erpressen wollte (er wollte dass ich ihn mir zurück kaufe) habe ich einiges über den in Erfahrung bringen können.

Problem ist einfach, dass er mein Passwort geknackt hat (was eigentlich schon eine riesen Sicherheitslücke seitens Twitch sein muss) und anschließend die Emailadresse meines Twitch Accounts geändert hat. Da Twitch die Warnemail, dass was geändert wurde jedoch aber nicht an meine ursprüngliche sondern an die neue vom Hacker eingegebene schickt, kam ich natürlich auch nicht mehr an den Account ran.

Hoffe ich konnte so ein bisschen Licht ins Dunkle bringen bevor hier noch mehr mutmaßen ob ich Schadsoftware oder ähnliches installiert habe ^^ Mein einziger Fehler war vermutlich, dass mein PW nicht unbedingt das sicherste war und ich nichts von der Two Step Authentifizierung wusste
 
Das liest sich für mich, als hätte er einfach die Session übernommen.
Konnte er ggf deinen Browser mal sehen, wo die Session ID in der URL angezeigt wurde?
 
Darf man fragen, wie lang das Passwort eigentlich war?
 
Huch da ist mein Post versehentlich doppelt hier gelandet. Das editier ich mal lieber ^^

@NBT: Nein das ist nicht möglich, da während des Streams nur das Spiel Minecraft und die Follower/Donationallerts eingeblendet wurden. Browser wurde nicht gezeigt

@fax668: Das PW bestand leider nur aus 7 Buchstaben und 2 Zahlen. Mittlerweile existiert es aber nirgends mehr
 
Zuletzt bearbeitet:
Ab Januar trennt sich paypal von twitch...kaum einer wird es wissen,aber ich sage es euch schon mal :)

mfg
 
proggi schrieb:
Ab Januar trennt sich paypal von twitch...kaum einer wird es wissen,aber ich sage es euch schon mal :)
Zum Vergrößern anklicken....
Was genau hat PP mit Twitch zutun? Die PP Spendenbuttons die manche Accounts haben, sind Sache zwischen Nutzer und PP selbst.
Twitch ist ja nur eine Streamingplatform.. die Accounts selbst halten auch kein Geld. Darum gibt es auch "nur" diese Erpressungsmasche...

@JuliaTrin
Hat dir twitch eine Auskunft gegeben was da überhaupt passiert ist?
Ein 9stelliges Passwort im Web sollte eigentlich nicht durch Bruteforce geknackt werden können (anders wäre es, wenn der Täter den hashcode abgegriffen hat o.ä.)...
 
Zuletzt bearbeitet:
Denke ich auch. 9 Stellen über's Netzwerk dauert sehr lange, wenn das nicht zufällig gleich am Anfang von einer Wörterbuchattacke gefunden wird.
 
Mir ist durch nen guten Freund zu Ohren gekommen, dass das wohl gar nicht mal so lange dauern würde. Oder aber Twitch hat da eine riesen Lücke. Ich hab keinen Plan. Mir ist das alles immer noch sehr suspekt.

Von Twitch kam keinerlei Antwort. Auch nicht auf meine Supportmail. Erst als über über Kontakte an den Twitteraccount eines deutschen Twitchmods kam, wurde mir geholfen. Der hat mir ein neues PW geschickt und die Email auf die vorherige zurück gesetzt. Die Email mit den Daten selbst war meiner Meinung nach nur eine übliche Standardemail mit Tipps wie "Schalte Two Step Auth" etc ein
 
9 stellen sind kurz?
9 stelliges pw zu bruten dauert unter laborbedingungen schon monate übers netz wirds mehrere jahre dauern "(länge^mgl. zeichen)/mgl. trys die sec"... diesen aufwand wird niemand für nen drittklassigen twitch account ohne höhere motivation eingehen.
Das hier wieder nen Klarer DAU fall - kompromitierter pc,pw sonstwie verraten oder halt der klassiker mit dem privaten background im pw. (ne door im twitch system schliesse ich einfach mal aus sonst wäre der shitstrom von den berühmten streamern schon grenzlos)
Anders schlichtweg nicht realistisch.
 
Zuletzt bearbeitet:
Streifi ich vermute mal, du hast meine Antworten bzgl. des ganzem nicht gelesen. Ich habe weder Schadsoftware auf dem PC noch irgend einen anderen "Klassiker" wie du es nennst. Und die Zeiten in denen 9 Stellen Monate (edit: Wochen) dauern sind lange vorbei. Und mein PW hat keinesfalls einen privaten Background ^^ Daher bin ich auch sehr froh, dass er das PW nicht veröffentlicht hat, so wie er es mit einem anderen Streamer wiederum schon getan hat.

Ich will nicht abstreiten, dass es da draußen zig Leute gibt die echt selbst schuld sind, wenn ihnen sowas passiert. Aber ich bin seit klein auf begeisterte PClerin und beschäftige mich seit Jahren damit. Mein PC ist erst zwei Monate alt und hat bisher keinerlei Links aus Emails geöffnet oder irgendwelche Dinge herunter geladen die ich nicht kannte. Einzig Steam, LoL, GW2 meine gängigen Aufnahme und Schneideprogramme und Open Office.

Wenn ich es nich besser wissen würde, ginge ich in dem Fall ja auch von nem DAU aus aber so unwahrscheinlich es klingt: hier ist es nicht der Fall ;)
 
Zuletzt bearbeitet:
9 Stellen PW mit zahlen würde ca. 3 Wochen dauern,das kann man durchaus verkürzen jedoch würde twitch diese power nicht standhalten.

mfg
 
Hast du eigentlich Strafanzeige gestellt? Wenn der Typ das systematisch mit Twitch/Minecraft/etc. macht und es genug Anzeigen gibt, bekommt irgendwann ein Staatsanwalt vielleicht mal die Arschbacke hoch. Dauert zwar ewig, wenn die Jungs im Ausland sitzen, aber oft sind solche Leute aus Ländern mit funktionierender Strafverfolgung.
 
Hattest du das Passwort schon einmal auf einer anderen Seite verwendet?
Mir ist dadurch mal ein Account gestahlen worden.
Passwort auf 2 Seiten verwendet, eine wurde gehackt und der Hash entwendet. Sehr schwacher Algorithmus ohne Salt, daher konnte mit den Accountdaten auf den anderen Account zugegriffen werden.

Man denkt nicht immer an alle Möglichkeiten.

Das dein PC sauber ist, kannst du aber niemals zu 100% ausschließen.
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh