I'm the creeper

Twitch nuova vittima di data leakage: 120 GB di dati diffusi sul web

Dopo il clamoroso blackout dei social, arriva la notizia di un enorme data leakage di Twitch, la nota piattaforma di livestreaming di Amazon. Dalle prime informazioni circolate in rete sembra che un utente abbia pubblicato in rete uno stream di 125 GB di informazioni aziendali dai contenuti estremamente riservati. La differenza in questo caso, rispetto a un data breach, è la mancanza di un attacco: i dati, pertanto, possono essere stati compromessi per ragioni come un incidente o perché non adeguatamente protetti.

La notizia della fuga dei dati è stata resa nota mercoledì ma sembrerebbe che le informazioni circolassero in rete già da lunedì scorso.

I dati compromessi sono oltre 100 GB e stando alle dichiarazioni dell’hacker anonimo che li ha divulgati potrebbero non essere i soli disponibili.

Il data leakage di Twitch

Il sito Video Games Chronicle è stato il primo a denunciare l’accaduto, dopo che un hacker anonimo aveva reso noto di aver trapelato informazioni riservate su Twitch. Dopo poco tempo è arrivata anche la conferma ufficiale da parte dell’azienda che ha affermato di aver subito una perdita di dati sensibili. Fra questi:

  • il codice sorgente di Twitch,
  • il resoconto dei pagamenti dei creator dal 2019 ad oggi,
  • il codice degli SDK proprietari così come gli Amazon Web Services utilizzati,
  • ma anche alcuni prototipi (come Vapor), informazioni su alcune proprietà dell’azienda e dati sugli strumenti di sicurezza usati.

A dire di alcune risorse interne all’azienda, che sono rimaste anonime, i dati sembrano legittimi e potrebbero rappresentare soltanto l’inizio di altri data leak. Infatti, l’anonimo hacker autore della pubblicazione dice di essere in possesso di altri dati anche se non accenna cosa è intenzionato a rendere noto.

Le cause del data leakage

Stabilire le origini di una così grande violazione di dati strettamente confidenziali è molto difficile. Come riportato da Wired, alcuni esperti parlano di scarse misure di sicurezza nell’azienda mentre per altri questa prima fuga di dati potrebbe dare inizio a una serie di problemi a cascata. Infatti, essendo stati resi pubblici i codici sorgente dell’applicazione è decisamente più facile poter trovare vulnerabilità o debolezze che avrebbero richiesto altrimenti più tempo.

L’azienda si sta muovendo nel frattempo per correre ai ripari e risolvere la situazione estremamente delicata. Fra le varie ipotesi una, riportata da BBC, riguarda un possibile errore umano nella configurazione di un server che avrebbe reso tali informazioni raggiungibili e accessibili da chiunque.

Le conseguenze per gli utenti e le possibili contromisure

Da ciò che si può apprendere in rete sembrerebbe che i dati riguardino solo l’azienda e che non siano stati compromessi i dati personali degli utenti e nemmeno le loro credenziali di accesso alla piattaforma. Infatti, mentre dapprima alcuni utenti di Twitter avevano evidenziato la presenza di password crittografate nel torrent disponibile in rete, in poco tempo la risposta di Twitch aveva negato tale ipotesi.

In accordo con il GDPR l’azienda, in caso di compromissioni di dati, è tenuta ad informare gli interessati dell’accaduto.

Pertanto, molti avevano consigliato di cambiare la password di accesso della propria utenza e abilitare l’autenticazione a due fattori ma senza una reale necessità. In ogni caso, qualora sia avvenuta una violazione di dati personali, l’azienda è tenuta, secondo il Regolamento Europeo per la Protezione dei Dati Personali, a darne pronta comunicazione al Garante. Successivamente, il titolare del trattamento è tenuto a comunicarlo a tutti gli interessati, soprattutto nel caso in cui si tratti di dati di persone fisiche.

Non ci resta che seguire con attenzione la vicenda e riportare eventuali nuove evoluzioni sull’accaduto.

Published by
Nicola Fioranelli