Dopo il clamoroso blackout dei social, arriva la notizia di un enorme data leakage di Twitch, la nota piattaforma di livestreaming di Amazon. Dalle prime informazioni circolate in rete sembra che un utente abbia pubblicato in rete uno stream di 125 GB di informazioni aziendali dai contenuti estremamente riservati. La differenza in questo caso, rispetto a un data breach, è la mancanza di un attacco: i dati, pertanto, possono essere stati compromessi per ragioni come un incidente o perché non adeguatamente protetti.
La notizia della fuga dei dati è stata resa nota mercoledì ma sembrerebbe che le informazioni circolassero in rete già da lunedì scorso.
Il sito Video Games Chronicle è stato il primo a denunciare l’accaduto, dopo che un hacker anonimo aveva reso noto di aver trapelato informazioni riservate su Twitch. Dopo poco tempo è arrivata anche la conferma ufficiale da parte dell’azienda che ha affermato di aver subito una perdita di dati sensibili. Fra questi:
A dire di alcune risorse interne all’azienda, che sono rimaste anonime, i dati sembrano legittimi e potrebbero rappresentare soltanto l’inizio di altri data leak. Infatti, l’anonimo hacker autore della pubblicazione dice di essere in possesso di altri dati anche se non accenna cosa è intenzionato a rendere noto.
Stabilire le origini di una così grande violazione di dati strettamente confidenziali è molto difficile. Come riportato da Wired, alcuni esperti parlano di scarse misure di sicurezza nell’azienda mentre per altri questa prima fuga di dati potrebbe dare inizio a una serie di problemi a cascata. Infatti, essendo stati resi pubblici i codici sorgente dell’applicazione è decisamente più facile poter trovare vulnerabilità o debolezze che avrebbero richiesto altrimenti più tempo.
L’azienda si sta muovendo nel frattempo per correre ai ripari e risolvere la situazione estremamente delicata. Fra le varie ipotesi una, riportata da BBC, riguarda un possibile errore umano nella configurazione di un server che avrebbe reso tali informazioni raggiungibili e accessibili da chiunque.
Da ciò che si può apprendere in rete sembrerebbe che i dati riguardino solo l’azienda e che non siano stati compromessi i dati personali degli utenti e nemmeno le loro credenziali di accesso alla piattaforma. Infatti, mentre dapprima alcuni utenti di Twitter avevano evidenziato la presenza di password crittografate nel torrent disponibile in rete, in poco tempo la risposta di Twitch aveva negato tale ipotesi.
Pertanto, molti avevano consigliato di cambiare la password di accesso della propria utenza e abilitare l’autenticazione a due fattori ma senza una reale necessità. In ogni caso, qualora sia avvenuta una violazione di dati personali, l’azienda è tenuta, secondo il Regolamento Europeo per la Protezione dei Dati Personali, a darne pronta comunicazione al Garante. Successivamente, il titolare del trattamento è tenuto a comunicarlo a tutti gli interessati, soprattutto nel caso in cui si tratti di dati di persone fisiche.
Non ci resta che seguire con attenzione la vicenda e riportare eventuali nuove evoluzioni sull’accaduto.