Masívny únik dát zo streamovacej služby Twitch


Služba Twitch je známa a obľúbená streamovacia služba, ktorú využíva široká hráčska komunita na streamovanie živého vysielania z hrania hier hráčmi alebo na živé prenosy e-športových podujatí. V roku 2021 má služba Twitch viac ako 8 miliónov aktívnych používateľov – streamerov. Služby Twitch aktuálne prevádzkuje spoločnosť Amazon, ktorá ju odkúpila v roku 2014.

Na diskusnom fóre 4chan sa objavila informácia, že servery služby Twitch boli hacknuté a kybernetickým útočníkom sa podarilo získať obrovské množstvo dát, vrátane zdrojových kódov služby a užívateľských dát. Aktuálne na fóre 4chan zverejnili odkaz na torrent súbor, cez ktorý je možné stiahnuť prvú časť odcudzených dát. Veľkosť súboru s odcudzenými dátami dosahuje až 125 GB, čo rozhodne nie je zanedbateľné množstvo. Rovnako znepokojivý je aj fakt, že sa jedná len o časť získaných dát – hackeri zvyšok odcudzených dát chcú zverejniť neskôr, prípadne sa ho pokúsia predať cez ilegálnu aukciu na darknete. Pokiaľ sa kybernetickým útočníkom podarilo získať aj detailné užívateľské dáta, tak tie môžu mať na darknete veľkú hodnotu a určite budú zneužité ďalšími kriminálnikmi.

Služba Twitch potvrdila bezpečnostný incident, o úniku dát vie a aktuálne ho interne vyšetruje. Avšak zatiaľ neboli informovaní samotní používatelia služby Twitch, tým odporúčame v čo najkratšom možnom čase zmeniť si heslo a aktivovať viacfaktorovú autentifikáciu. Podľa informácií zverejnených na diskusnom fóre 4chan a podľa obsahu súboru s dátami sa hackerom podarilo získať:

  • Kompletné zdrojové kódy služby Twitch, ako aj všetky súvisiace nástroje a knižnice
  • Zdrojové kódy k aplikáciám Twitch pre PC, herné konzoly a smartfóny
  • Zdrojové kódy k nevydanému hernému klientovi s označením Vapour (konkurencia STEAM)
  • Zdrojové kódy pridružených služieb a webov IGDB a CourseForge
  • Interné nástroje kyberbezpečnostného tímu služby Twitch
  • Citlivé informácie, užívateľské dáta – v neznámom rozsahu

Medzi citlivé informácie, ktoré sa útočníkom podarilo získať, patria napríklad aj dohodnuté odmeny pre tvorcov obsahu, ktorí so službou Twitch spolupracovali v rokoch 2019 – 2021. Aktuálne sa nepotvrdilo, že by unikli detailné informácie o používateľoch ako emailové adresy, mená, heslá a iné osobné údaje. Hackeri však naznačili, že sa jedná len o prvú časť uniknutých dát, preto sa v tejto chvíli nedá vylúčiť, že takéto údaje bude obsahovať druhá časť dát, ktorá zatiaľ nebola zverejnená.

Zatiaľ nie je známe, ako k bezpečnostnému incidentu došlo, či sa jednalo o zlú konfiguráciu v IT infraštruktúre spoločnosti, o zlyhanie ľudského faktora alebo o útok zvnútra. Aktuálne všetci čakáme na oficiálne vyjadrenie služby Twitch k bezpečnostnému incidentu.