Cerca nel blog

2021/10/08

Twitch messo a nudo, diffusi tutti i dati interni, compresi i pagamenti agli streamer

Twitch.tv, il popolarissimo sito di streaming video in diretta di proprietà di Amazon, è stato messo a nudo dalla diffusione dei suoi dati e documenti, causata da un suo errore di configurazione che li ha resi accessibili dall’esterno e non da un attacco informatico. Dopo il disastro di Facebook, sembra che gli errori di configurazione catastrofici siano la moda del momento.

I dati in questione sono stati scaricati e ripubblicati su 4chan da ignoti come grande file Torrent di quasi 130 GB e secondo le prime analisi conterrebbe almeno parte del software di gestione di Twitch, alcuni progetti non annunciati e una cartella dedicata ai pagamenti fatti a migliaia dei più importanti streamer negli ultimi due anni, da agosto-settembre 2019 fino a ottobre di quest’anno. I dati in questa cartella sono quindi recentissimi e documentano che in molti casi gli incassi degli streamer ammontano a milioni di dollari per ciascuno. La BBC ha ricevuto conferme da alcuni di loro, per cui i dati sono almeno parzialmente autentici.

Sizeof.cat ha pubblicato un’analisi che elenca alcuni di questi incassi. Attenzione a visitare gli account Twitch citati, perché alcuni potrebbero essere inadatti ad ambienti di lavoro o altrimenti sensibili.

Amouranth: $92.949 on September 2021
Pokimane: $38.217 on September 2021
moonmoon: $83.685 on September 2021
pestily: $105.107 on September 2021
shroud: $96.359 on September 2021
moistcr1tikal: $117.959 on September 2021

La top ten degli incassi lordi in dollari:

CriticalRole 9626712.16
xQcOW 8454427.17
summit1g 5847541.17
Tfue 5295582.44
NICKMERCS 5096642.12
ludwig 3290777.55
TimTheTatman 3290133.32
Altoar 3053839.94
auronplay 3053341.54
LIRIK 2984653.7

Niente male, per persone che in molti casi stanno semplicemente trasmettendo in streaming le loro sessioni di videogioco.

La fuga di dati è particolarmente imbarazzante e dannosa perché Twitch ha sempre tenuto gelosamente segreti i guadagni dei suoi streamer. Oltretutto il file Torrent è denominato part one, cosa che fa supporre che ci sia altro materiale che verrà pubblicato prossimamente. 

C’è poi anche il codice sorgente del sito, dei client per dispositivi mobili, desktop e console di gioco, e c’è una cartella infosec dedicata alle misure di sicurezza: dati che potrebbero facilitare intrusioni.

Per gli utenti di Twitch si pone subito un problema di sicurezza: Twitch ha annunciato di aver resettato tutte le stream key, ossia i codici univoci usati dal software di streaming per trasmettere video sugli specifici account della piattaforma. Quelle nuove sono disponibili presso https://dashboard.twitch.tv/settings/stream

Anche se per ora non ci sono indicazioni che i file pubblicati contengano password, è prudente cambiare la propria password su Twitch, magari cogliendo l’occasione per sceglierne una difficile e soprattutto differente da quelle usate altrove e per attivare l’antifurto, ossia l’autenticazione a due fattori.

Twitch ha inoltre dichiarato di non custodire i dati integrali delle carte di credito degli utenti, per cui non ci dovrebbe essere il rischio di violazione di queste carte.

 


Nessun commento: