logo

CybergON Blog

Advancing the State of Cybersecurity.

L'attacco informatico alla piattaforma streaming più grande al mondo: il caso Twitch

Con oltre 30 milioni di utenti attivi al giorno, di cui 4 milioni solo in Italia, Twitch è una delle piattaforme di streaming più popolari al mondo, caratterizzata da dirette live di gaming trasmesse da una community di 2,5 milioni di Content Creator. Fortnite, League of Legends, Minecraft e Counter-Strike sono solo alcuni dei molti videogiochi che riuniscono sulla piattaforma appassionati e curiosi.

twitch-attacco

Twitch è stato acquisito da Amazon nel 2014 per 970 milioni di dollari ed è diventato la quarta fonte di traffico internet negli USA dopo Netflix, Google e Apple. La sua popolarità sempre crescente ha perfino spinto diversi esponenti della politica americana, come il Senatore Bernie Sanders e l’ex Presidente Donald Trump, ad aprire un canale personale, ovviamente con fini differenti rispetto alle live-stream.

Il violento attacco informatico

Il 6 ottobre 2021 su 4chan, sito web utilizzato in passato da Anonymous per la pubblicazione di materiale riservato, un utente anonimo ha pubblicato un link di Torrent per il download di 125 GB di dati derivati da una presunta violazione di Twitch. La piattaforma stessa ha successivamente confermato la perdita dei dati con un comunicato ufficiale.

twitch-conferma

L’utente anonimo ha dichiarato di aver condiviso le informazioni esfiltrate per favorire la concorrenza tra piattaforme di live streaming online e per danneggiare la “Community tossica” di Twitch, che negli scorsi mesi si è visto costretto ad implementare urgentemente alcune procedure di controllo e di verifica delle identità per fermare le innumerevoli manifestazioni di odio e violenza verbale che stavano colpendo molti utenti e creatori di contenuti.

Analisi del contenuto del leak

Secondo quanto riferito dal blogger Sizeofcat, i dati di Twitch trapelati includono lo storico del codice sorgente di Twitch dagli esordi della piattaforma ad oggi, con quasi 6.000 repository di Git. Grazie al leak si può avere accesso ad ogni commit dei fix temporanei o degli sviluppi eseguiti da parte dei programmatori nel tempo, con tanto di titolo e descrizione.

Il criminale che entra in possesso del codice ha dunque una visione completa di tutta l’infrastruttura di Twitch, dalla gestione della piattaforma, ai messaggi, fino ai database utilizzati per il back-end.

Il pericolo principale, però, risiede nella consultazione del codice esposto per la ricerca di vulnerabilità da parte dei criminali informatici: chi possiede la capacità di analisi tecnica e gli strumenti adeguati può trovare e sfruttare le vulnerabilità zero-day contenute del codice e ancora sconosciute agli sviluppatori di Twitch.

Inoltre, nel repository di Git sono anche salvate funzionalità o porzioni di codice in fase di testing o non ancora rilasciate, e si possono perfino recuperare credenziali rimaste nel codice durante le release. Oltre al codice sorgente sono state esfiltrate informazioni su:

  • I client Twitch per dispositivi mobili, desktop e console;
  • I servizi AWS interni utilizzati dalla piattaforma di stream es. database, VM;
  • L’SDK, ovvero il software development kit, l’ambiente di sviluppo utilizzato internamente per creare codice e programmi proprietari;
  • L’IGDB ovvero video game database e CurseForge, la più grande repository per videogiochi per scaricare le diverse funzionalità aggiuntive chiamate mods.
  • Strumenti interni di “red teaming” utilizzati per difendere la piattaforma da attacchi informatici. A tal proposito, due ex ingegneri informatici di Twitch sono stati intervistati dalla rivista Platformer che si occupa di “big tech e democrazia” e hanno espresso in modo anonimo la loro preoccupazione per la scarsa attenzione alla sicurezza interna dell’azienda americana.

Dalle informazioni trafugate, sembrerebbe che Amazon Game Studios stia lavorando a Vapor e a Vapeworld, rispettivamente un nuovo prototipo di game store e un nuovo gioco scritto in codice Unity. Dal punto di vista commerciale, il leak potrebbe quindi avere un impatto ancora maggiore, poiché avvantaggerebbe uno dei maggiori concorrenti di Amazon, cioè la Valve Corporation di Steam. Una fonte anonima afferma in un post su Twitter che il data set include gli indirizzi e-mail di dominio justin.tv utilizzate dagli sviluppatori della piattaforma in “memoria” dell’azienda dalla quale è nato Twitch. Si tratta di un’altra informazione sensibile che potrebbe essere sfruttata per future campagne di phishing da parte dei criminali.

Per concludere, dai documenti esfiltrati trapelano gli stipendi da agosto 2019 a ottobre 2021 dei 100 streamer più pagati, tra cui CriticalRole, xQcOW e summit1g, che hanno guadagnato più di 20 milioni di dollari lavorando con la popolare piattaforma di streaming. Sono elencati anche i primi 80 streamer, con una media di guadagno di un milione di euro. Ciò che non include il leak è il denaro che gli streamer hanno guadagnato al di fuori di Twitch, inclusi merchandising, entrate di YouTube, sponsorizzazioni e donazioni esterne.

Il file è basato sul codice di twitchearnings.com ed è stato poi riportato in un CSV, che si presenta in questo formato:

Position Username User ID GrossEarning
1 xxxx 234234 56789

La disponibilità gratuita del leak, riportata anche dal sito Video Games Chronicle, ha comportato l’accorrere di migliaia di gamers curiosi che hanno scaricato i dati sensibili. Il file di 125 GB è stato attualmente chiamato “Parte 1”, lasciando intendere che, in realtà, il breach è ancora più esteso di quello pubblicato. Non è stato ancora specificato cos’altro verrà rilasciato.

Secondo un’altra fonte, oltre al leak del codice sorgente, sarebbe avvenuto anche il furto di password crittografate. L’uguaglianza data breach = password non è sempre veritiera e, in questo caso non ancora verificata, il che, potrebbe portare i criminali a hoaxes di rivendita di credenziali nel dark web.

In ogni caso, si raccomanda a tutti gli utenti di cambiare le credenziali e di abilitare l’autenticazione a due fattori per proteggere la propria identità digitale, collegando un numero di telefono all’account. Concludiamo con una nota nerd: il golden K. Per chi non fosse avvezzo a Twitch, si tratta di una emoticon leggendaria dorata disponibile per un solo giorno che si pensava venisse assegnata causalmente dalla piattaforma. Grazie al leak e alla lettura del codice sorgente, diversi analisti hanno scoperto che l’emoticon poteva essere in realtà assegnata da alcuni utenti in modo deterministico, creando un certo fermento nelle chat live dei creators.

golden-k

Conclusione

Il leak di Twitch rimarrà uno dei data breach più impattanti nella storia della sicurezza informatica, sia per la qualità del contenuto esfiltrato, sia come emblema di attacco ad una community specifica, quella dello streaming online. Un attacco differente per certi termini, che non punta al solo guadagno finanziario, ma è motivato dal perpetrarsi dei raid di odio nella piattaforma. Ripercussioni più serie sull’azienda americana saranno visibili molto probabilmente nel medio-lungo termine, quando i criminali informatici sfrutteranno le informazioni del leak per raccogliere moneta virtuale e alimentare il proprio dark business model canvas.

Rimane tutt’ora l’incognita della futura pubblicazione della “Part 2” da parte dell’utente anonimo di 4chan dal quale tutto è cominciato, che potrebbe sconvolgere nuovamente le carte in tavola e aggiungere elementi alla già complessa compromissione.