Hack masivo de Twitch – filtran el código fuente e informes de pagos
Un atacante saqueó Twitch en busca de datos importantísimos, incluido todo su código fuente e información de pago de sus usuarios.
Según la información revelada, un usuario anónimo publicó un enlace a un torrent de 125GB en 4chan el miércoles.
Quien sea responsable de hackear el servicio que es el preferido por los gamers, lo racionalizó diciendo que la comunidad de Twitch necesita tener los pulmones sin aliento. Según la publicación, la filtración es un medio para “fomentar más interrupciones y competencia en el espacio de transmisión de video en línea”, porque “la comunidad de Twitch es un asqueroso y sucio pozo tóxico”.
El atacante no está del todo equivocado, según lo ha reconocido Twitch.
La filtración probablemente es una respuesta directa a la falta de respuesta de Twitch y las herramientas efectivas para defenderse de los ataques de odio dirigidas a los streamers en agosto. Esto porque el filtrador anónimo también usó el hashtag #DoBetterTwitch.
Este hashtag fue utilizado en Twitter por streamers que compartieron cómo sus chats de transmisión de Twitch se estaban inundando de bots de acoso.
Twitch finalmente reconoció el problema y dijo que lanzaría herramientas de verificación de cuentas y detección de evasión a finales de este año.
Los archivos son legítimos
Múltiples medios, así como una fuente anónima, han verificado que el ladrón de datos se salió con la suya. Todos los archivos mencionados en 4chan son legítimos y están disponibles públicamente para que cualquiera los puedadescargar.
Eso incluye el código fuente de Twitch, que es propiedad de Amazon.
A continuación, puedes ver la lista de los datos filtrados:
- El código fuente completo de Twitch
- Informes de pagos para creadores de contenido desde 2019
- Clientes de Twitch para dispositivos móviles, de escritorio y de consola
- SDK propietarios y servicios de AWS internos utilizados por Twitch
- “Todas las demás propiedades que posee Twitch”, incluidos IGDB y CurseForge
- Unn competidor inédito de Steam propiedad de Amazon Game Studios
- Herramientas para auditorías de seguridad internas
Twitch ya respondió a la filtración:
“Podemos confirmar que se ha producido una infracción. Nuestros equipos están trabajando con urgencia para comprender el alcance de esto. Actualizaremos la información tan pronto como haya información adicional disponible. Gracias por su paciencia”.
Debes cambiar tu contraseña inmediatamente – también filtraron hash de contraseñas
Un usuario de Twitch también afirmó que el registro de datos incluye contraseñas cifradas, algo que Jarno Niemela, investigador principal de F-Secure confirmó.
“Por lo que sabemos actualmente… se han filtrado hashes de contraseñas, todos los usuarios obviamente deberían cambiar sus contraseñas y usar 2FA [autenticación de dos factores] si aún no lo están haciendo”.
Esta filtración es muy grave para Twitch, pero la pregunta es qué efectos tendrá para el usuario habitual de Twitch.
No hay datos de usuario afectados, todavía
A primera vista, esto parece un ataque directo solo contra Twitch, en lugar de sus usuarios. Aun así, está “casi garantizado” que la información de usuarios habrá sido extraída en esta filtración.
Eso significa que los usuarios tendrán que tomar las precauciones habituales de cambiar las credenciales de su cuenta y asegurarse de que no utilizan la misma combinación de credenciales para acceder a otros servicios en línea.
Eso es particularmente cierto dado que esta infracción, por desagradable y extensa que sea, aparentemente es solo el comienzo. La filtración de 4chan fue etiquetada como “parte 1”, lo que sugiere que hay más datos por venir.
Por ejemplo, los datos de los usuarios aparentemente no se incluyeron en el archivo.
Como el atacante indicó que aún no han divulgado toda la información que tienen, cualquier persona que haya sido usuario de Twitch debe revisar toda la información que le ha dado a Twitch. Asimismo, deben ver si hay alguna precaución que deban tomar para que la información privada adicional no sea filtrada. Y aunque no ayudará en este caso, dado que los datos ya se han filtrado, los usuarios siempre deben tener cuidado con el tipo de información que brindan a cualquier plataforma de redes sociales.
La peor infracción posible
La lectura de una filtración de datos que incluye todo el código fuente, incluido el software inédito, los SDKs los informes financieros y las herramientas internas causará escalofríos a cualquier profesional de seguridad. Esto es realmente malo.
Si no se activaron las alarmas, eso significa claramente que algo no está bien con la configuración de seguridad de Twitch.
La primera pregunta en la mente de todos debe ser: ¿Cómo diablos alguien exfiltró 125 GB de los datos más confidenciales imaginables sin observar una sola alarma?
¿Cómo ha ocurrido esta filtración?
El torrent de 128GB parece haber sido adquirido de uno de los repositorios internos de GitHub de Twitch. Los datos filtrados se pusieron a disposición a través de torrents compartidos como enlaces magnéticos.
Parece haber evidencia de que los archivos originales provienen de un servidor interno de GitHub, git-aws.internal.justin.tv. Justin.tv era el nombre de la empresa que finalmente se convirtió en Twitch.
Si la filtración se rastrea hasta GitHub, Twitch se encontrará en buena compañía: la cuenta de GitHub de Microsoft fue hackeada en 2020.
Cuidado con el phishing
Para concluir, más allá de cambiar las contraseñas, los streamers de Twitch también deben estar atentos a futuros intentos de phishing. Seguramente, estos ataques estarán basados en los datos que se hayan filtrado o se filtrarán.
Cambiar las contraseñas, especialmente si se ha utilizado la misma contraseña en otros sistemas, es un buen primer paso para los usuarios afectados. Pero también vale la pena tener en cuenta que no todos los ataques basados en información sobre estas filtraciones se producirán de inmediato.
Los delincuentes pueden utilizar los datos de la filtración para formular ataques de phishing convincentes durante semanas o meses. Por lo tanto, es importante que los usuarios de Twitch estén atentos a los correos electrónicos, mensajes de texto, etc., que afirman ser de Twitch o de un servicio relacionado.