La filtración de Twitch incluye correos electrónicos y contraseñas en texto plano
Si eres usuario de Twitch y aún no has cambiado tu contraseña, ¡hazlo ahora mismo!
Es posible que tu correo electrónico y contraseña ya se hayan filtrado: sin hash, sin cifrar, en texto plano.
Investigadores han estado exprimiendo las entrañas del servicio de transmisión después de que 135 gigabytes de sus datos internos fueran filtrados en 4chan recientemente.
Realmente es una filtración espantosa que incluye el código fuente del servicio propiedad de Amazon y comentarios que se remontan a los albores de la época de Twitch. Asimismo, herramientas de seguridad y un competidor inédito de Amazon Game Studios para Steam. Y, por si fuera poco, una lista de los canales mejor pagados y cuánto les pagaron (para tu información: un canal operado por actores de voz ocupa el primer lugar, ganando alrededor de $10 millones en dos años), entre otros datos.
Correos electrónicos y contraseñas en texto plano
Desde el martes, muchos investigadores han trabajado en revelar lo que muchos expertos predijeron. Es decir, esto no fue solo un ataque directo a Twitch, a pesar de que el atacante llamó al servicio un “asqueroso pozo negro tóxico”.
Más bien, también fue un ataque a los usuarios de Twitch, cuya información personal fue filtrada.
Un investigador de seguridad independiente que solicitó el anonimato encontró las direcciones de correo electrónico y las contraseñas de los transmisores en texto plano en un almacén de datos expuesto. El investigador compartió la siguiente captura de pantalla de Twitch con PrivacySharks. PrivacySharks posteriormente compartió la captura con algunos portales web de seguridad informática.
Cuando se le contactó a Twitch, para dar su postura, un representante envió la siguiente declaración: “En este momento, no tenemos indicios de que se hayan expuesto las credenciales de inicio de sesión. Seguimos investigando. Además, Twitch no almacena los números completos de las tarjetas de crédito, por lo que no se expusieron los números completos de las tarjetas de crédito”.
La causa de la filtración fue un dispositivo mal configurado
El miércoles, Twitch reveló que “algunos datos” fueron expuestos a Internet. El incidente ocurrió debido a “un error en un cambio de configuración del servidor de Twitch al que posteriormente accedió un tercero malintencionado”. Afirmó que sus equipos estaban investigando con urgencia, pero que no habían encontrado ninguna evidencia de que las credenciales de inicio de sesión hubieran sido expuestas.
“Seguimos investigando”, concluyó Twitch.
El jueves, el servicio restableció todas las claves “por precaución” y ordenó a los streamers que obtuvieran nuevas claves aquí.
Contracargos de PayPal, rastreo de sitios de la competencia, datos de empleados
A pesar de que Twitch no encontró ninguna evidencia de datos de usuario expuestos, un investigador demostró lo contrario. El investigador independiente compartió con PrivacySharks otros almacenes de datos que contienen datos personales. Estos datos incluyen un archivo de PayPal que contiene detalles sobre más de 1,000 devoluciones de dinero realizadas desde Twitch a varias plataformas.
Los registros incluyen nombres completos, direcciones de correo electrónico, comentarios del comprador y montos. La captura de pantalla mostrada a continuación es un ejemplo de lo que contenía el archivo:
El filtrador anónimo calificó el volcado de datos de 135 gigabytes del martes como “la primera parte” de la filtración. Sin embargo, no dijo qué más podría revelar ni cuándo.
Pero hasta ahora, la filtración también ha incluido los nombres, direcciones de correo electrónico y puestos de los empleados de back-end.
El investigador también descubrió evidencia de que Twitch supuestamente ha estado rastreando los servicios de la competencia para canales en vivo y recuentos de visitas. Esta captura de pantalla es una muestra de este hecho:
Twitch supuestamente tiene tecnología Anti-View-Botting
Finalmente, el investigador también encontró capturas de pantalla que indican que Twitch supuestamente está mejorando su tecnología para detectar y prevenir el view-botting en la plataforma. View-botting (visualización de bots) es cuando los streamers inflan artificialmente su recuento de vistas concurrentes mediante el uso de “scripts o herramientas ilegítimas”, según Twitch.
Los bots no son del todo malos. Los buenos bots ayudan a mantener el clima, los deportes y otras noticias actualizadas en tiempo real. Asimismo, pueden ayudar a encontrar el mejor precio en un producto o rastrear contenido robado. Los robots malos, sin embargo, pueden distribuir malware y pueden usarse para hackear, enviar spam, espiar, difundir noticias falsas y comprometer sitios web de todos los tamaños.
Cuando se trata de un servicio como Twitch, los streamers utilizan bots de fraude de visualizaciones “para impulsar sus transmisiones y acceder a la tabla de clasificación virtual donde esperan atraer seguidores y visualizaciones legítimas”. Eso es similar a cómo funcionan otras plataformas, al promover canales populares más que canales nuevos e impopulares.
Aparentemente, Twitch está trabajando en tecnología para eliminar esos bots de visualización. El investigador que estaba revisando los datos de Twitch afirmó que Twitch usa “tácticas de detección que involucran estadísticas de transmisión para ver si los streamers están usando view-bots”.
¿Por qué es importante el View-Botting?
La adopción de Twitch de la tecnología anti-bots no debería sorprender a nadie. En abril, Twitch anunció que estaba tomando medidas enérgicas contra los bots, lo que llevó a muchos streamers de Twitch a perder seguidores.
Como explicó Madeleine Hodson de PrivacySharks, acumular un gran número de seguidores es crucial para volverse popular en Twitch. Y, cuando hablamos de “crucial”, estamos hablando de signos de dólar.
Esto no solo aumenta las ganancias en la plataforma por suscripciones y donaciones, sino que puede resultar en asociaciones lucrativas con compañías de terceros. Sin embargo, si las empresas anuncian productos con creadores de Twitch que transmiten a una audiencia mayoritariamente falsa, las empresas están perdiendo. Es decir, se está gastando una gran cantidad de dinero en vano.
Un tesoro – filtración del código fuente
Si bien los bots de visualización son importantes para los streamers y anunciantes en el ecosistema de Twitch, eso no es lo más llamativo. La filtración del código fuente es lo que hace que los profesionales de la ciberseguridad estén atentos.
Jon Murchinson, director ejecutivo de Blackpoint Cyber dijo desde el punto de vista de la seguridad informática, “el código fuente y los kits de desarrollo de software son las joyas de la corona que deseas proteger a toda costa”.
Él y otros predijeron que la filtración podría resultar en que los atacantes descubrieran vulnerabilidades críticas que podrían convertirse en armas para uso futuro. “Si bien los detalles aún son escasos, esto resalta la dificultad de asegurar la nube distribuida y la infraestructura local”, comentó Murchinson.
June Werner, ingeniero del Infosec Institute, estuvo de acuerdo en que la filtración del código fuente “puede facilitar que los actores malintencionados encuentren exploits en la plataforma de Twitch en el futuro”.
Para confirmar, Twitch no ha reconocido la filtración de datos personales. Sin embargo, dados los hallazgos, y solo para estar seguro, para protegerse, los usuarios de Twitch deberían habilitar la autenticación de dos factores (2FA) y asegurarse de que no están usando su contraseña anterior de Twitch para cualquier otra cuenta.