29 octobre 2021

Twitch Leak, ou la plus grosse fuite d’entreprise

Une liste de streamers Twitch à ne jamais bannir aurait fuité - Dexerto.fr

Introduction

La plateforme de streaming Twitch a été victime le 5 octobre 2021 d’un incident majeur. D’importantes quantités d’informations confidentielles se sont retrouvées en ligne, du code source, des outils internes et des listes indiquant les gains des streameurs et les streameuses. Twitch a confirmé les faits dès le jour suivant.

Qu’y a-t-il dans cette fuite ?

Dans le fichier torrent de 125 Go diffusé sur le forum 4chan, se trouve le code source de plusieurs programmes, des outils internes ainsi que les revenues des streamers des 3 dernières années.

Figure 1 : Thread posté sur un forum avec un lien de téléchargement du Torrent contenant les données de Twitch

D’après un employé de Twitch, l’attaque aurait eu lieu le 4 octobre 2021 et postée dès le lendemain sur le forum.

Cette fuite pourrait être le début d’une série d’autres, car le dossier contenant toutes les données est intitulé « twitch-leaks-part-one ». Il n’est pas exclu que les données des parties suivantes concernent les utilisateurs de la plateforme et peut-être une compromission de la maison mère Amazon.

L’intégralité du code source de Twitch

La fuite concerne les dépôts logiciels de Twitch. Cela comprendrait donc le code source du site, de différentes applications mobiles, les outils de modérations, de développement ainsi que tout l’historique du code. Une base de données considérable puisqu’avoir accès à tous ces outils permet d’y déceler des failles, de comprendre le fonctionnement des algorithmes, des outils de recommandations, etc.

Figure 2 : Intégralité du code source de Twitch

Les revenus des streamers Twitch

Les informations financières de plus de 10 000 streamers classés jour par jour durant ses 3 dernières années ont été divulguées. Cependant cela aurait servi uniquement à attirer l’attention sur ce piratage et faire en sorte que les streamers produisent du contenu en masse, car il n’est pas conventionnel de stocker des données comptables au sein de dépôts logiciels, et cela a très bien fonctionné et a permis de répandre la « bad news » un peu partout sur le net.

Vapor

Dans cette fuite on y retrouve des traces de projets en développement comme le futur concurrent du magasin de jeux, Steam. La diffusion du projet met en péril les plans d’Amazon et on peut s’attendre à une réaction de la plateforme concurrente n°1.

Informations de connexion AWS

Dans les fichiers, on peut retrouver des clés privées et des identifiants de connexion à des serveurs AWS. S’ils n’ont pas été changés à temps, des personnes malveillantes auraient pu voler davantage d’informations sur les serveurs accessibles sur Internet.

D’où vient la fuite ?

Certaines données auraient été accessibles directement sur Internet du fait d’une erreur de changement de serveur Twitch, mais la piste de l’attaque interne est privilégiée. D’anciens employés avaient conservé les accès aux dépôts de quoi augmenter la surface d’attaque.

Qui est concerné ?

Les vidéastes sont concernés directement, avec la divulgation de leurs revenus, les réactions sont aléatoires, mais comme indiqué par les plus gros, cela reste des revenus bruts et beaucoup de paramètres ne sont pas pris en compte (dons, taxes etc.).

Mais celui qui est touché encore plus fortement c’est bien Twitch, ce n’est pas une simple fuite de données c’est bien toute l’entreprise qui a fuité ainsi que tous les projets en production et futurs. Comme certains aiment le dire « Twitch est devenu Open Source ». 

Figure 3 : Tweet de Twitch confirmant la fuite de données

Concernant le public, il n’est pas avéré que des informations personnelles ont été extraits. Du moins, la première archive qui tourne sur Internet ne parait pas en contenir. Il n’y a pas non plus, manifestement, de fichiers qui renseigneraient sur des combinaisons d’identifiants et de mots de passe permettant d’accéder aux comptes.

Pourquoi une telle attaque ?

Les motivations derrière cette opération de grande ampleur qui vient de frapper Twitch sont incertaines, mais la publication sur 4chan décrit Twitch et sa communauté comme « un cloaque toxique dégoutant ». Le message ne dit pas en quoi, mais la plateforme est souvent pointée du doigt sur les problèmes de harcèlement sexuel, de sexualisation des vidéastes ou encore de haine.

Twitch a dernièrement activé de nouvelles dispositions pour mieux sécuriser les tchats. Le message publié sur 4chan justifie aussi cette attaque au nom d’une concurrence plus saine dans le secteur du streaming de jeu vidéo, qui est dominé quasi exclusivement par la filiale d’Amazon, malgré la tentative de YouTube Gaming ou Mixer de Microsoft. En publiant cette fuite, il s’agirait de « favoriser la disruption et la concurrence dans le domaine du streaming ».

29 octobre 2021 CERT

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *