Twitch资料外泄原因出炉，又是配置错误闯祸

骇客日前借由网络论坛4chan释出窃自游戏影片串流平台Twitch的125GB资料，Twitch除了证实该平台被骇之外，也在6日公布了原因，指出是因为Twitch服务器的配置变更错误所造成，而让第三方得以存取内部服务器。迄今Twitch仍在调查受骇范围。

这是最近第二起因配置错误所酿成的资安灾难，脸书在台北时间5日凌晨发生的全球当机事件，也与骨干路由器的配置变更出错有关。

Twitch强调，该平台仍在调查这起意外，但目前尚无任何证据显示有任何使用者凭证外泄，而且Twitch并未存放完整的信用卡号码。

骇客允许任何人下载窃自Twitch的资料，当中包含了Twitch的创作者支出细节、twitch.tv的提交历史、行动/桌面/游戏机的Twitch客户端程式源代码、Twitch所建立的SDKs及所使用的AWS服务、尚未发表的游戏串流平台Vapor，以及Twitch内部的红队测试安全工具等。

《Motherboard》引用Twitch前安全工程师Thomas Shadwell的看法指出，骇客所揭露的安全工具看起来都是旧的，外泄的源代码也没有太多的机密，看起来受到这波资料外泄事件影响最大的可能是直播主。

Twitter上已开始有人公布Twitch直播主的收入，台湾媒体也纷纷揭露台湾直播主的身价。Shadwell认为，这些资讯将对直播主造成骚扰或潜在威胁，也可能让这些收入丰厚的直播主成为骇客的攻击目标。

为了谨慎起见，Twitch已经重置了所有的串流金钥。串流金钥为使用者开始串流时必须输入的凭证，而且直接连结Twitch用户的账号，由于它也属于Twitch用户的凭证之一，过去Twitch即强调不要与任何人分享串流金钥。