Le service de diffusion vidéo en direct Twitch a été touché par un piratage massif qui a exposé 125 Go de données de l’entreprise. Dans un fil de discussion 4chan publié (et supprimé) mercredi, un utilisateur anonyme a publié un fichier torrent du vidage de données multi-gig. La décharge contient le code source de l’entreprise et les détails de l’argent gagné par les créateurs de Twitch.
Twitch admet avoir violé mais n’est pas sûr de « l’étendue »
Dans un article 4chan vu par Ars aujourd’hui, un utilisateur anonyme a affirmé avoir divulgué 125 Go de données extraites de 6 000 référentiels Twitch Git internes. L’affiche du forum s’est moquée Acquisition de Twitch par Amazon, écrivant: « Jeff Bezos a payé 970 millions de dollars pour cela, nous le donnons GRATUITEMENT. »
Le pirate a écrit que le but de la fuite était de perturber et de promouvoir la concurrence entre les plateformes de streaming vidéo. Le pirate informatique a en outre déclaré que « la communauté de Twitch est un cloaque dégoûtant et toxique ».
Twitch a admis la brèche mais n’a pas répondu aux questions d’Ars. À ce stade, il semble que même Twitch ne soit pas au courant de l’étendue de la violation, car la société travaille toujours sur les détails :
Nous pouvons confirmer qu’une violation a eu lieu. Nos équipes travaillent d’urgence pour en comprendre l’ampleur. Nous mettrons à jour la communauté dès que des informations supplémentaires seront disponibles. Merci de nous accompagner.
– Twitch (@Twitch) 6 octobre 2021
Les revenus des meilleurs créateurs de Twitch dévoilés
Le même fil sur 4chan a également prétendu exposer « les rapports de paiement des créateurs de 2019 à maintenant. Découvrez combien votre streamer préféré gagne vraiment! »
Notamment, l’archive de 125 Go est intitulée « Part One », faisant allusion à la possibilité de fuites futures.
Un petit sous-ensemble de données vu par Ars montre les revenus des 10 000 meilleurs utilisateurs de Twitch à côté de leurs noms d’utilisateur. Une liste mise à jour a été posté par le créateur du jeu La nuit dernière, et un utilisateur de Twitter qui a analysé le vidage a publié une ventilation détaillée des paiements :
Une source Twitch anonyme a confirmé Chronique des jeux vidéo que les données divulguées, y compris le code source de Twitch, sont légitimes. Selon la source de l’entreprise, les données ont été obtenues pas plus tard que lundi.
L’affiche de 4chan affirme que le vidage de données divulgué contient :
- L’intégralité du code source de twitch.tv, avec l’historique des commits depuis le début
- Rapports de paiement des créateurs à partir de 2019
- Clients Twitch pour mobile, ordinateur de bureau et console de jeux vidéo
- SDK propriétaires et services AWS internes utilisés par Twitch
- Données de « toutes les autres propriétés que Twitch possède », y compris IGDB et CurseForge
- Informations sur un concurrent Steam inédit (« Vapor ») d’Amazon Game Studios
- Les outils internes de « red teaming » de Twitch utilisés par les équipes SOC (sécurité)
Le dump contiendrait également le code source Unity pour un jeu appelé « Vapeworld. »
Des parties de l’archive divulguée sont vastes et contiennent de grands ZIP, et il peut s’écouler des jours avant que l’étendue complète de la violation ne soit comprise :
Certains utilisateurs de Twitter ont également affirmé avoir vu des mots de passe cryptés présents dans le dump et exhortent les utilisateurs de Twitch à activer l’authentification à deux facteurs et à modifier les mots de passe par mesure de sécurité.
Le piratage met plus de mauvaises nouvelles dans l’assiette de Twitch et fait suite à une réponse publique récente et tant attendue à raid haineux problèmes. Au cours de ces raids, des propos vulgaires et haineux sont déversés dans les principaux flux de discussion du site par les utilisateurs et les robots.
Fait intéressant, Olivia Solon, journaliste aux enquêtes technologiques de NBC, a déclaré que tous les systèmes d’entrepôt d’Amazon ont été touchés par un interruption du réseau hier soir, bien que la société ne confirme pas si cet événement était lié au piratage de Twitch.
D’après Solon :
Les employés d’entrepôt d’Amazon à travers les États-Unis n’ont pas pu travailler pendant au moins deux heures la nuit dernière car leur logiciel interne s’est écrasé et aucun de leurs scanners ne fonctionnait.
Tout ce qu’Amazon dira, c’est qu’il s’agissait d’une « perturbation du réseau qui a été rapidement résolue ».
L’acquisition de Twitch par Amazon en 2014 a maintenu que l’entité fonctionnerait « indépendamment » d’Amazon. En tant que tel, il n’est pas clair si Twitch exécute sa propre pile de serveurs ou utilise l’espace rack d’Amazon.