Twitchのソースコードとユーザー支払い情報が漏洩！？※更新

本日10月6日、匿名のハッカーが、Twitchのソースコードやユーザーの支払い情報など、Twitchの全ての情報をリークしたと主張していると、VGC誌が伝えています。

（筆者注：以下、VGC誌の本文ママ翻訳）

このユーザーは、水曜日に125GBのtorrentリンクを4chanに投稿し、今回のリークは「彼らのコミュニティはうんざりするほど有毒な掃き溜めである」という理由から、「オンラインビデオストリーミングの分野でより多くの混乱と競争を助長する」ことを目的としていると述べています。

VGCは、4chanで言及されたファイルが、匿名のハッカーが説明した通り、一般にダウンロード可能であることを確認しています。

ある匿名の企業関係者はVGCに対し、アマゾンが所有するストリーミング・プラットフォームのソースコードを含め、流出したデータは本物だと語っています。

関係者によると、Twitchは社内的に今回の侵害を認識しており、データが入手されたのは最近の月曜日であると考えられています。Twitch社にコメントを求めましたが、回答があり次第、この記事を更新します。

流出したTwitchのデータには以下のものが含まれている：

Twitchのソースコード全体と “初期にまでさかのぼる”コメント履歴
2019年からのクリエイターの支払い報告書
モバイル、デスクトップ、そしてコンソールのTwitchクライアント
Twitchが使用する、独自のSDKと内部のAWSサービス
IGDBやCurseForgeを含む「Twitchが所有するその他すべての財産」
Amazon Game Studiosのコードネーム「Vapor」という未発表のSteam対抗ソフト
Twitch社内の「レッドチーミング」ツール（スタッフがハッカーのふりをすることでセキュリティを向上させるためのもの）。

Twitterユーザーの中には、流出した125GBの情報を確認し始めた人もおり、ある人は、このtorrentには暗号化されたパスワードも含まれていると主張し、安全のために2段階認証を有効にすることを勧めています。

その他の詳細は、以下でVGCで確認できます。

Source: VGC

The entirety of Twitch has reportedly been leaked | VGC

10月7日07:00追記：未明、Twitchの公式Twitterにおいて、本件に関する発表されたことによって、漏洩が噂ではなく確定になりました。

We can confirm a breach has taken place. Our teams are working with urgency to understand the extent of this. We will update the community as soon as additional information is available. Thank you for bearing with us.
— Twitch (@Twitch) October 6, 2021

侵害（追記：”breach”なので不正アクセス）が発生したことを認識しています。当社のチームは、この問題の範囲を把握するために緊急で取り組んでいます。追加情報が入り次第、コミュニティに報告します。よろしくお願い致します。

さらに、2日前の不思議なツイートを発見。公式の発言なのでしょうか？それともこれは…

Facebook down.
Obligatory meme here.
Like button below 👇
— Twitch (@Twitch) October 4, 2021

Facebookがダウン。忘備録的なミームです。「いいね！」ボタンは下

10月7日16:00追記：TwitterおよびBlogで、調査状況が掲載されています。

Our investigation is ongoing, and we are in the process of analyzing all of the relevant logs and data to assess actual impact. For an update see https://t.co/mp8wndXv03
— Twitch (@Twitch) October 7, 2021

調査は継続中で、実際の影響を評価するために、関連するすべてのログとデータを分析しているところです。最新情報は blogをご覧ください。
（以下、ブログの内容）

10月7日19:00追記：ストリームキーがリセットされました。

[10/7/2021 @ 1:00AM PT]

ストリームキーに関するアップデート

念には念を入れ、すべてのストリームキーをリセットしました。新しいストリームキーはこちらから入手できます：
https://dashboard.twitch.tv/settings/stream

お使いの配信ソフトウェアによっては、次回に配信を開始するために、この新しいキーでソフトウェアを手動でアップデートする必要があります。

Twitch Studio、Streamlabs、Xbox、PlayStation、Twitch Mobile Appをお使いのお客様は、新しいキーを有効にするために何もする必要はありません。
Twitchアカウントに接続しているOBSユーザーの方も、何もする必要はありません。TwitchアカウントをOBSに接続していないOBSユーザーは、Twitchダッシュボードからストリームキーを手動でコピーし、OBSに貼り付ける必要があります。
その他の方は、お使いのソフトウェアの設定方法をご参照ください。

[10/6/2021 @ 10:30PM PT]

Twitchサーバーの設定変更時のエラーによって、一部のデータがインターネット上に公開され、その後悪意のある第三者にアクセスされたことが判明しました。当社のチームは緊急にこの事故を調査しています。

調査が進行中であり、詳細な影響を把握している段階です。このような状況が懸念されることは理解しており、調査を継続する間、ここでいくつかの懸念事項に対応したいと考えています。

現時点では、ログイン認証情報が流出したという事実はありません。引き続き調査を行っています。

また、クレジットカード番号はTwitchに保存されていないため、完全なクレジットカード番号は流出していません。