Ogromen pobeg podatkov s Twitcha

V sredo so še neidentificirani napadalci na spletu objavili celotno izvorno kodo Twitcha in praktično vseh z njim povezanih notranjih programskih orodij, pa tudi zaslužke največjih akterjev na platformi. Gre za enega največjih pobegov podatkov v zgodovini.

Preteklo sredo, 6. oktobra, so uporabniki spletnega foruma 4chan lahko naleteli na izjemno zanimivo objavo (na sliki): anonimni uporabnik je skozi torrent ponudil 125 GB velik paket podatkov, v katerem naj bi bili, po vrsti: kompletna izvorna koda platforme za pretočni video Twitch, vključno z vso zgodovino programskih posodobitev in kodo vseh aplikacij; izvorna koda vseh notranjih razvojnih orodij, ki jih v podjetju uporabljajo, vključno s tisto iz oddelka za varnost (red team tools); koda še nedokončane trgovinske igričarske platforme s kodnim imenom Vapor, ki naj bi bila Amazonov tekmec Steama; za nameček pa tudi zaslužki 10.000 največjih Twitchevih streamerjev iz leta 2019. Podjetje je najprej na hitro omenilo, da je res prišlo do vdora, nekaj kasneje je prišla še malo daljša razlaga, da je bil vzrok napačna konfiguracija na strežnikih in da naj pri tem vpisni podatki uporabnikov ne bi bili razkriti.

V zadnjih dneh se je pokazalo, da so podatki v resnici verodostojni, s čimer gre za eno največjih kraj in izpustov podatkov v zgodovini. Nekdanji zaposleni trdijo, da dogodek ni presenečenje, saj da naj bi v podjetju že dolgo zanemarjali dobre varnostne prakse. Zlikovce naj bi po njihovih lastnih besedah vodila sovražnost do platforme in njene "toksične" skupnosti, z izpustom pa da želijo premešati karte na področju pretočnih platform in pomagati, da se dvigne konkurenca. Twitch je bil sicer v zadnjih mesecih zapleten v afero z napadi iz sovraštva (hate raids), ko so nekateri uporabniki s pomočjo botov druge zasuli s hudourniki žaljivk v pogovornih oknih. Problematika se je razrasla do te mere, da so streamerji uprizarjali "stavke", podjetje pa se je odzvalo z več ukrepi, kot je zaostritev pogojev za uporabo chata in tudi z ovadbami največjih napadalcev.

Kljub temu, da naj bi bili osebni podatki uporabnikov na varnem, je smiselno zamenjati gesla in vklopiti večstopenjsko avtentikacijo. Streamerji s seznama razkritih vsot pa se lahko pripravijo na usmerjene napade z ribarjenjem, saj so poleg tudi nekatere finančne informacije. Večina zaslužkov je bila doslej poslovna skrivnost in njihova javna objava zna povzročiti kar nekaj trenj tako med streamerji kot tudi med njimi in Twitchem, saj bodo razkorake v vsotah nekateri gotovo izrabili kot vzvod v novih pogajanjih. Za firmo je s poslovnega stališča boleče tudi razkritje platforme Vapor - kar je seveda precej pomenljiv naziv - ker je šlo za skrbno varovano skrivnost, prvi pregledi kode pa kažejo, da gradi predvsem na zelo tesni integraciji s Twitchem, kar naj bi bila v primerjavi s konkurenco njena glavna prednost.