> > > > Twitch bietet nur lasche Sicherheitsvorkehrungen

Twitch bietet nur lasche Sicherheitsvorkehrungen

DruckenE-Mail
Erstellt am: von

twitchStreamingportale wie Twitch oder Hitbox sind sehr beliebt, um Spielelivestreams zu realisieren und zu monetarisieren. Zahlreiche deutsche Youtuber und Streamer tummeln sich bereits auf der Plattform und auch der 24/7-Livesender Rocketbeans.tv nutz die Plattform, um sein Programm auszustrahlen. Essentiell für jeden Streamer ist natürlich der Account, über welchen alles konfiguriert wird und über den er auch die Zuschauerschaft erreichen kann.

twitch

Oft wird jedoch bei der Sicherheit von genau jenen Accounts geschlampt. Und das geschieht nicht nur auf Anwenderseite beispielsweise durch zu schwache Passwörter, sondern wie im Falle von Twitch auch auf Anbieterseite, wo die Hürden eines Passwort- oder E-Mail-Wechsels quasi nicht vorhanden sind. So wurde jüngst der Account einer kleineren Streamerin live durch eine unbekannte Person übernommen und letztendlich gelöscht. Die besagte Streamerin hat mittlerweile dank des Twitch-Supportes ihren Account wieder.

Dabei war es ohne Bestätigung möglich, die E-Mail-Adresse und das Passwort zu ändern, sobald man einmal im Account drin ist. Gewohnte Sicherheitsvorkehrungen wie das Bestätigen der neuen E-Mail-Adresse und des neuen Passworts über die alte E-Mail-Adresse sind nicht vorgesehen.

verify

Nachricht wie sie an die neue E-Mail-Adresse geschickt wird

Besonders erschreckend ist hierbei, dass eine so große Plattform so wenig Sicherheitsvorkehrungen anbietet. Vor allem, da hinter dem Angebot mit Amazon ein ganz großer Player steckt. Sowas sollte nicht vorkommen, egal wie schnell der Support reagieren kann. Es bleibt zu hoffen, dass Twitch sowie auch andere Webseiten ihre Sicherheitsvorkehrungen dementsprechend anpassen, da auch viel Geld über solche Angebote und Vertriebswege verdient wird. Auch ist es jedem mit Twitch-Account angeraten, die 2-Faktor-Authentifizierung via SMS zu aktivieren, damit zumindest das Übernehmen des Accounts erschwert wird.

Social Links

Ihre Bewertung

Ø Bewertungen: 0

Tags

Kommentare (19)

#10
Registriert seit: 15.12.2015

Matrose
Beiträge: 4
Huch da ist mein Post versehentlich doppelt hier gelandet. Das editier ich mal lieber ^^

@NBT: Nein das ist nicht möglich, da während des Streams nur das Spiel Minecraft und die Follower/Donationallerts eingeblendet wurden. Browser wurde nicht gezeigt

@fax668: Das PW bestand leider nur aus 7 Buchstaben und 2 Zahlen. Mittlerweile existiert es aber nirgends mehr
#11
customavatars/avatar205813_1.gif
Registriert seit: 05.05.2014
Hessen
Stabsgefreiter
Beiträge: 357
Ab Januar trennt sich paypal von twitch...kaum einer wird es wissen,aber ich sage es euch schon mal :)

mfg
#12
customavatars/avatar202850_1.gif
Registriert seit: 06.02.2014
Im sonnigen Süden
Admiral
Beiträge: 9478
Zitat proggi;24139453
Ab Januar trennt sich paypal von twitch...kaum einer wird es wissen,aber ich sage es euch schon mal :)

Was genau hat PP mit Twitch zutun? Die PP Spendenbuttons die manche Accounts haben, sind Sache zwischen Nutzer und PP selbst.
Twitch ist ja nur eine Streamingplatform.. die Accounts selbst halten auch kein Geld. Darum gibt es auch "nur" diese Erpressungsmasche...

@JuliaTrin
Hat dir twitch eine Auskunft gegeben was da überhaupt passiert ist?
Ein 9stelliges Passwort im Web sollte eigentlich nicht durch Bruteforce geknackt werden können (anders wäre es, wenn der Täter den hashcode abgegriffen hat o.ä.)...
#13
customavatars/avatar222185_1.gif
Registriert seit: 08.06.2015

Leutnant zur See
Beiträge: 1126
Denke ich auch. 9 Stellen über's Netzwerk dauert sehr lange, wenn das nicht zufällig gleich am Anfang von einer Wörterbuchattacke gefunden wird.
#14
Registriert seit: 15.12.2015

Matrose
Beiträge: 4
Mir ist durch nen guten Freund zu Ohren gekommen, dass das wohl gar nicht mal so lange dauern würde. Oder aber Twitch hat da eine riesen Lücke. Ich hab keinen Plan. Mir ist das alles immer noch sehr suspekt.

Von Twitch kam keinerlei Antwort. Auch nicht auf meine Supportmail. Erst als über über Kontakte an den Twitteraccount eines deutschen Twitchmods kam, wurde mir geholfen. Der hat mir ein neues PW geschickt und die Email auf die vorherige zurück gesetzt. Die Email mit den Daten selbst war meiner Meinung nach nur eine übliche Standardemail mit Tipps wie "Schalte Two Step Auth" etc ein
#15
Registriert seit: 02.02.2010

Obergefreiter
Beiträge: 69
9 stellen sind kurz?
9 stelliges pw zu bruten dauert unter laborbedingungen schon monate übers netz wirds mehrere jahre dauern "(länge^mgl. zeichen)/mgl. trys die sec"... diesen aufwand wird niemand für nen drittklassigen twitch account ohne höhere motivation eingehen.
Das hier wieder nen Klarer DAU fall - kompromitierter pc,pw sonstwie verraten oder halt der klassiker mit dem privaten background im pw. (ne door im twitch system schliesse ich einfach mal aus sonst wäre der shitstrom von den berühmten streamern schon grenzlos)
Anders schlichtweg nicht realistisch.
#16
Registriert seit: 15.12.2015

Matrose
Beiträge: 4
Streifi ich vermute mal, du hast meine Antworten bzgl. des ganzem nicht gelesen. Ich habe weder Schadsoftware auf dem PC noch irgend einen anderen "Klassiker" wie du es nennst. Und die Zeiten in denen 9 Stellen Monate (edit: Wochen) dauern sind lange vorbei. Und mein PW hat keinesfalls einen privaten Background ^^ Daher bin ich auch sehr froh, dass er das PW nicht veröffentlicht hat, so wie er es mit einem anderen Streamer wiederum schon getan hat.

Ich will nicht abstreiten, dass es da draußen zig Leute gibt die echt selbst schuld sind, wenn ihnen sowas passiert. Aber ich bin seit klein auf begeisterte PClerin und beschäftige mich seit Jahren damit. Mein PC ist erst zwei Monate alt und hat bisher keinerlei Links aus Emails geöffnet oder irgendwelche Dinge herunter geladen die ich nicht kannte. Einzig Steam, LoL, GW2 meine gängigen Aufnahme und Schneideprogramme und Open Office.

Wenn ich es nich besser wissen würde, ginge ich in dem Fall ja auch von nem DAU aus aber so unwahrscheinlich es klingt: hier ist es nicht der Fall ;)
#17
customavatars/avatar205813_1.gif
Registriert seit: 05.05.2014
Hessen
Stabsgefreiter
Beiträge: 357
9 Stellen PW mit zahlen würde ca. 3 Wochen dauern,das kann man durchaus verkürzen jedoch würde twitch diese power nicht standhalten.

mfg
#18
customavatars/avatar222185_1.gif
Registriert seit: 08.06.2015

Leutnant zur See
Beiträge: 1126
Hast du eigentlich Strafanzeige gestellt? Wenn der Typ das systematisch mit Twitch/Minecraft/etc. macht und es genug Anzeigen gibt, bekommt irgendwann ein Staatsanwalt vielleicht mal die Arschbacke hoch. Dauert zwar ewig, wenn die Jungs im Ausland sitzen, aber oft sind solche Leute aus Ländern mit funktionierender Strafverfolgung.
#19
Registriert seit: 05.04.2007

Stabsgefreiter
Beiträge: 359
Hattest du das Passwort schon einmal auf einer anderen Seite verwendet?
Mir ist dadurch mal ein Account gestahlen worden.
Passwort auf 2 Seiten verwendet, eine wurde gehackt und der Hash entwendet. Sehr schwacher Algorithmus ohne Salt, daher konnte mit den Accountdaten auf den anderen Account zugegriffen werden.

Man denkt nicht immer an alle Möglichkeiten.

Das dein PC sauber ist, kannst du aber niemals zu 100% ausschließen.
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

Unitymedia möchte Endkundenanschlüsse in öffentliche Wi-Fi-Hotspots umwandeln

Logo von UNITYMEDIA-LOGO

Der in Nordrhein-Westfahlen, Hessen und Baden-Württemberg aktive Kabelnetzprovider Unitymedia plant 1,5 Millionen Endkundenanschlüsse mit seinem WLAN-Router gleichzeitig in öffentliche Wi-Fi-Hotspots zu verwandeln. Wer als Kunde dabei mitmacht, bekommt unabhängig vom Standort, Tarif oder... [mehr]

ProSiebenSat.1 schaltet MyVideo ab (Update: MyVideo wird nur umstrukturiert)

Logo von IMAGES/STORIES/LOGOS-2013/PRO7SAT1MEDIA

Das Videoportal MyVideo wurde einst von der ProSiebenSat.1-Gruppe als Konkurrenz zu YouTube aufgebaut. Das Portal konnte sich gegen die amerikanische Konkurrenz jedoch nie wirklich durchsetzen – die Verantwortlichen ziehen nun den Stecker. Laut einer Meldung werde das Projekt vorübergehend... [mehr]

Routerzwang: Unitymedia nennt Details zum Einsatz eines eigenen Gerätes

Logo von UNITYMEDIA-LOGO

Ab dem 1. August 2016 wird der Routerzwang für die Internetanbieter endgültig Geschichte sein und die Kunden können dann auch eigene Geräte einsetzen. Während bei herkömmlichen DSL-Anschlüssen die Umstellung problemlos verlaufen dürfte, werden die Kunden bei Kabelanschlüssen etwas... [mehr]

10-GBit/s-Internetanschluss für Privatkunden in Estland

Logo von IMAGES/STORIES/LOGOS-2016/STARMAN

Immer wieder führen die Internetanbieter in Deutschland die bereits bestehende, gute Infrastruktur an, wenn es um die niedrigen Zahlen der FTTH/B/C-Anschlüsse geht. Dass es sich dabei größtenteils um Augenwischerei handelt und Anschlüsse mit mehr als 50 MBit/s weiterhin rar gesät sind, egal... [mehr]

Internet: Provider müssen zukünftig exakte Übertragungsrate angeben

Logo von IMAGES/STORIES/LOGOS-2015/HARDWARELUXX_NEWS_NEW

Bei den meisten Verträgen zwischen Kunden und Internetanbietern geben die Provider meist nur die maximal erreichbare Geschwindigkeit an. Ob die Übertragungsrate letztendlich am eigenen Anschluss erreicht wird, wird von den Anbietern nicht vertraglich zugesichert. Dieses Problem könnte sich... [mehr]

VDSL-Vectoring: Telekom startet im Herbst mit 100 Mbit/s in Hamburg

Logo von IMAGES/STORIES/LOGOS-2015/TELEKOM2

Mit VDSL-Vectoring möchte die Deutsche Telekom die Geschwindigkeit des Netzes deutlich steigern. Wie das Unternehmen bekannt gibt, wird mit Hamburg ab Herbst die erste Großstadt mit dem schnellen Internet ausgebaut. Die Anschlüsse sollen dann eine Geschwindigkeit von bis zu 100 Mbit/s im Down-... [mehr]