Twitch hat auch weibliche Nutzerinnen, unter den Streamern sind die Rollen aber sehr klar verteilt.

Foto: Mike Blake / REUTERS

Eigentlich hätte es eine offizielle Bestätigung gar nicht mehr gebraucht, sprechen die im Internet kursierenden Daten doch selbst eine mehr als deutliche Sprache. Nun ist sie trotzdem da: Die Betreiber von Amazons Streamingplattform Twitch bestätigen ein riesiges Datenleck.

"Unsere Teams arbeiten mit Hochdruck daran, das Ausmaß zu verstehen", schreibt der offizielle Twitch-Account auf Twitter und bestätigt damit indirekt, dass man von der Veröffentlichung kalt erwischt worden ist. Dass andere Medien wie "Heise Online" angesichts dessen von einem "Super-GAU" für die Plattform schreiben, erscheint insofern durchaus gerechtfertigt – kursieren doch seit Mittwoch 135 GB an internen Daten im Internet.

Quellcode als neuer Angriffspunkt

Besonders pikant macht den Vorfall aber nicht das Ausmaß, sondern vor allem das, was darin enthalten ist. Dazu zählt etwa der Quellcode für die gesamte Web-Plattform und alle mobilen und Konsolen-Apps – in Summe fast 6.000 Git-Repositories. Interessant ist das nicht zuletzt für andere Hacker, die jetzt fraglos schnell den Quellcode auf einfach aufzuspürende Sicherheitslücken durchsuchen werden, um potenziell weitere Angriffe zu setzen.

Viel Geld für Männer

Noch mehr dürfte Twitch aber etwas anderes stören: In dem Leak ist ein fünf Gigabyte großer Ordner namens "twitch_payouts" enthalten, der im Detail auflistet, welche Streamer seit August 2019 wie viel Geld von der Plattform bekommen haben. Demnach gibt es 25 Streamer, die es in dem Zeitraum auf mehr als zwei Millionen US-Dollar gebracht haben, weitere 50 kassierten mehr als eine Million.

Gleichzeitig zeigt der Leak auch, welch eine Männerbastion die Plattform ist – zumindest wenn es um erfolgreiche Streamer geht – finden sich laut "Kotaku" in den Top 100 doch gerade einmal drei Frauen, die bestplatzierte davon ist Pokimane auf Position 39. Amouranth schafft es dann auf Rang 48, Sintica folgt erst auf 71. Einschränkend muss allerdings angemerkt werden, dass sich diese Auswertung nur auf Einzelpersonen bezieht, Streamer-Gruppen also nicht erfasst werden. Am Gesamtbild ändert dies aber wenig.

Problemjahr

Für Twitch reiht sich der Vorfall in ein auch sonst wenig erquickliches Jahr ein. Zwar ist man weiter die Nummer eins unter den Streamingportalen, zuletzt haben sich aber einige prominente Streamer in Richtung Youtube verabschiedet. Dazu kommen nicht abreißen wollende Diskussionen über die "toxische" Community, ein Punkt, den auch die unbekannten Leaker als Motivation für die Veröffentlichung anführen. Dazu gehören etwa homophobe, frauenfeindliche und rassistische Hasskampagnen, die von einzelnen Twitch-Usern koordiniert wurden. Die Amazon-Tochter hat in diesem Zusammenhang vor einigen Wochen Klage gegen zwei User erhoben – einer davon aus Österreich. Im August hatten sich zahlreiche Twitch-Streamer angesichts des Hassproblems in der Community gar zu einem eintägigen Streik entschlossen.

Keine Logins

Zumindest eine gute Nachricht gibt es: Laut Twitch gibt es – entgegen ersten Berichten – keine Hinweise darauf, dass im Leak auch Logindaten von Nutzern oder gar deren Passwörter enthalten sind. Allerdings handelt es sich beim aktuellen Leak laut den Verantwortlichen erst um Teil eins. Aber auch sonst ist nach einem solch umfassenden Hack generell anzuraten, das Passwort für das eigene Konto zu ändern.

Kreditkartendaten sollen die Angreifer hingegen nicht erbeutet haben. Zumindest in dieser Hinsicht ist sich Twitch sicher – speichere man die entsprechenden Informationen doch gar nicht vollständig auf den eigenen Servern, wie es in einem Folge-Blogeintrag heißt. Dort wird nun auch zumindest ein Hinweis darauf gegeben, wie der Zugriff passiert ist: Durch eine Fehlkonfiguration der eigenen Server seien gewisse Daten offen im Internet gestanden und dann von Unbekannten kopiert worden. Die Untersuchungen seien aber noch im Laufen, insofern könne man noch keine abschließenden Aussagen zum Ausmaß des Vorfalls machen. (Andreas Proschofsky, 7.10.2021)