Le service de diffusion de vidéos en direct Twitch a été frappé par un piratage massif qui a exposé 125 Go de données de l’entreprise. Dans un fil de discussion 4chan publié (et supprimé) mercredi, un utilisateur anonyme a partagé un fichier torrent de la décharge de données. Le fichier contient le code source de l’entreprise et des informations sur l’argent gagné par les créateurs de Twitch.
Twitch admet l’existence d’une violation mais n’est pas sûr de son « étendue ».
Dans un message publié sur 4chan et vu par Ars aujourd’hui, un utilisateur anonyme a affirmé avoir divulgué 125 Go de données extraites de 6 000 dépôts Git internes de Twitch. Le posteur du forum s’est moqué de l’acquisition de Twitch par Amazon, écrivant : « Jeff Bezos a payé 970 millions de dollars pour cela, nous le donnons GRATUITEMENT ».
Le pirate a écrit que le but de la fuite était de causer des perturbations et de promouvoir la concurrence entre les plateformes de streaming vidéo. Le pirate a également déclaré que la « communauté de Twitch est un cloaque toxique et dégoûtant ».
Twitch a reconnu la violation, mais n’a pas répondu aux questions d’Ars. Il semble que même Twitch ne soit pas conscient de l’ampleur de la violation, car l’entreprise est encore en train de régler les détails :
Nous pouvons confirmer qu’une violation a eu lieu. Nos équipes travaillent de toute urgence pour en comprendre l’étendue. Nous informerons la communauté dès que des informations supplémentaires seront disponibles. Merci de rester à nos côtés.
– Twitch (@Twitch) 6 octobre 2021
Mise à jour : Dans un avis publié hier à 22h30 PT, Twitch a imputé l’exposition des données à un « changement de configuration du serveur auquel un tiers malveillant a eu accès par la suite ». Alors que l’enquête se poursuit pour évaluer l’impact total, Twitch déclare qu’à l’heure actuelle, il n’y a aucune preuve indiquant que les identifiants de connexion ont été divulgués. De plus, Twitch ne stocke pas les numéros de carte de crédit et confirme que ceux-ci n’ont pas été et n’auraient pas pu être exposés.
Les revenus des principaux créateurs de Twitch sont révélés
Le même fil de discussion sur 4chan prétendait également exposer « les rapports de paiement des créateurs de 2019 à aujourd’hui. Découvrez combien votre streamer préféré gagne réellement ! ».
Notamment, l’archive de 125 Go est intitulée « Première partie », ce qui fait allusion à la possibilité de fuites futures.
Lire également – Amazon Prime Video : Les 7 meilleurs films à regarder en streaming cette semaine
Un petit sous-ensemble de données vues par Ars montre les revenus des 10 000 premiers utilisateurs de Twitch à côté de leur nom d’utilisateur. Une liste mise à jour a été publiée par le créateur du jeu Sinoc, et un utilisateur de Twitter qui a analysé les données a publié une ventilation détaillée des paiements :
Une source anonyme de Twitch a confirmé à Video Games Chronicle que les données divulguées, y compris le code source de Twitch, sont légitimes. Selon la source de l’entreprise, les données ont été obtenues aussi récemment que lundi.
Le poster 4chan affirme que la fuite de données contient :
- L’intégralité du code source de twitch.tv, avec l’historique des modifications depuis le début.
- Rapports de paiement des créateurs à partir de 2019
- Les clients Twitch pour mobiles, ordinateurs de bureau et consoles de jeux vidéo.
- Les SDK propriétaires et les services AWS internes utilisés par Twitch.
- Données provenant de « toutes les autres propriétés de Twitch », y compris IGDB et CurseForge.
- Des informations sur un concurrent de Steam (« Vapor ») non commercialisé par Amazon Game Studios.
- Les outils internes de « red teaming » de Twitch utilisés par les équipes SOC (sécurité).
L’archive contiendrait également le code source d’Unity pour un jeu appelé « Vapeworld ». Certaines parties de l’archive qui a fait l’objet de la fuite sont vastes et contiennent de gros ZIP, et il faudra peut-être plusieurs jours avant de comprendre l’étendue complète de la brèche :
Certains utilisateurs de Twitter ont également affirmé avoir vu des mots de passe cryptés dans la décharge et invitent les utilisateurs de Twitch à activer l’authentification à deux facteurs et à changer de mots de passe pour se protéger.
Lire également – Les revenus de Google Cloud et de Microsoft Azure contribuent à la forte croissance des bénéfices des géants de la technologie
Ce piratage ajoute d’autres mauvaises nouvelles dans l’assiette de Twitch et fait suite à une réponse publique récente et attendue depuis longtemps sur les questions de raids haineux. Lors de ces raids, des utilisateurs et des robots déversent des propos vulgaires et haineux dans les principaux fils de discussion du site.
Il est intéressant de noter qu’Olivia Solon, journaliste de NBC spécialisée dans les enquêtes technologiques, affirme que tous les systèmes d’entreposage d’Amazon ont été touchés par une perturbation du réseau la nuit dernière, bien que l’entreprise ne confirme pas si cet événement est lié au piratage de Twitch.
Lire également – Fairphone apporte son intelligence de réparabilité aux écouteurs
Selon Solon :
LES EMPLOYÉS DES ENTREPÔTS D’AMAZON AUX ÉTATS-UNIS N’ONT PAS PU TRAVAILLER PENDANT AU MOINS DEUX HEURES LA NUIT DERNIÈRE PARCE QUE LEUR LOGICIEL INTERNE A PLANTÉ ET QU’AUCUN DE LEURS SCANNERS NE FONCTIONNAIT.
TOUT CE QUE DIT AMAZON, C’EST QU’IL S’AGISSAIT D’UNE « PERTURBATION DU RÉSEAU QUI A ÉTÉ RAPIDEMENT RÉSOLUE ».
L’acquisition de Twitch par Amazon en 2014 maintenait que l’entité fonctionnerait « indépendamment » d’Amazon. En tant que tel, il n’est pas clair si Twitch exécute sa propre pile de serveurs ou utilise l’espace rack d’Amazon.