Data leak di Twitch: quello che sappiamo (e cosa fare)

Argomenti:
Pubblicato il: 07-10-2021 11:13

Da quello che sappiamo il servizio di video streaming Twitch è stato colpito da un attacco informatico, che ha portato al trafugamento (o data leak) di 125GB di dati riservati dell’aziende, tra cui il codice sorgente del sito ed alcune informazioni su quanto guadagnano gli streamer. La fuga di dati è stata annunciata su 4chan, la piattaforma-forum del dark web in cui bazzicano spesso troll ed hacker molto esperti (spesso postando materiale illegale o borderline), ed è stata diffusa in forma di file .torrent.

Non si tratta quindi di una tentata vendita di dati (come nel caso di Facebook), ma di informazioni rese disponibili gratis e che saranno difficili da arginare, a questo punto: secondo un vecchio adagio, infatti, tutto ciò che finisce online tende a rimanerci per sempre.

Twitch conferma

Secondo un post di 4chan screenshottato da ArsTechnica, un utente anonimo avrebbe dato la notizia del furto, avvenuto direttamene dal Git interno utilizzato dagli sviluppatori della piattaforma, trollando la scelta di Amazon di acquisire Twitch nel 2014 con un lapidario: “Jeff Bezos ha pagato 970 milioni di dollari per questo, qui ve lo diamo gratis“. Neanche 24 ore fa l’account Twitter dell’azienda ha confermato la notizia, e sta attualmente facendo resettare le chiavi private e le password usate dagli utenti per sicurezza:

Se ho un account Twitch, cosa devo fare?

In prima istanza la cosa da fare è quella di cambiare la password, iniziando a considerarle “usa e getta”: una password andrebbe cambiata periodicamente su qualsiasi piattaforma proprio per evitare danni da situazioni del genere, che sono sempre più periodiche. Cambiare la propria password è il minimo, pertanto, per quanto non siano state date indicazioni specifiche agli utenti e si possa anche, volendo, attivare l’autenticazione a due fattori per la propria utenza Twitch. Al tempo stesso, va valutata l’effettiva portata della cosa: il furto di dati potrebbe tradursi nel fatto che una persona potrebbe rubarvi l’account, oppure inviarvi spam o fare attacchi di social engineering e/o truffe varie. Ma non è detto che succeda, in questo caso, data la dinamica del furto che finisce per danneggiare prevalentemenete Twitch, non tanto i singoli utenti.

Chiaramente se non avevate un account Twitch al 6 ottobre 2021, non c’è di che preoccuparsi.

Quali dati di Twitch sono stati esposti?

Inizialmente molte testate avevano riferito la possibilità che fossero stati esposti dati delle carte di credito degli utenti, quelle che usano per acquistare crediti nel sito, in sostanza. Ma da quello che risulta ufficialmente (advisory), a cui verrebbe da credere dato che esiste l’obbligo della UE a dare informazioni trasparenti, in questi casi, giusto ieri il blog aziendale di Twitch ha parlato di “un cambio di configurazione nel server, che è stato acceduto indebitamente da uno script malevolo di terze parti“. Mentre si continua ad indagare e prendere misure di sicurezza, pertanto, non sembrano esserci prove del fatto che siano state rubate credenziali di login degli utenti. Twitch, inoltre, non sembra memorizzare dati delle carte di credito nei propri server, che quindi non dovrebbero essere interessate al leak (contrariamente a quanto suggerito da alcune testate del settore anche italiane, ndr). Questo, se da un lato ridimensiona il panico dell’utente medio e lo “tranquillizza”, non significa che per sicurezza non sia comunque consigliabile cambiare password periodicamente, per inciso.

Chiarimenti e specifiche

Questi attacchi informatici sono sempre più frequenti, avvengono per le motivazioni più diverse e sono quasi sempre destrutturati: frutto di iniziative dei singoli “arditi” o di gruppi di cybercriminali poco cambia, è un fenomeno con cui dovremo abituarci a convivere in questi anni, senza contare che un giorno potrebbe toccare addirittura a piattaforme istituzionali. L’Italia per la verità è già sul pezzo, in questo ambito, dato che ha stanziato fondi per la sicurezza delle proprie piattaforme mediante un bando di qualche mese fa. La sicurezza informatica, del resto, si avvia a diventare terreno di pubblico dominio, con le principali pratiche per la scelta delle password o meglio ancora, in prospettiva, per l’utilizzo di autenticazione più sicura o firma digitale. Non più, insomma, “roba da smanettoni”.

In questi casi si scrive spesso che gli “hacker” sono riusciti a trafugare dati riservati di aziende che, in teoria, avrebbero dovuto evitare situazioni del genere. Tale piano di discussione è probabilmente viziata da due errori di fondo: il fatto che molta gente se la prenda tendenzialmente con i violatori (poco o per nulla con chi avrebbe dovuto prendere contromisure), ed il fatto di chiamarli hacker, una parola dall’origine decisamente più nobile di quanto possa sembrare in questa fase. Del resto la Comunità Europea è stata chiara: in caso di leak o fuga di dati riservati, le piattaforme sono obbligate a rendere pubblica la notizia. Ecco perchè, analogamente ai casi simili avvenuti a Facebook e Epik (ad esempio), sembra che in questi anni ci sia un’autentica esplosione di fughe di dati, che ci sono da quando esiste internet perchè connaturate nel suo “lato oscuro”, se vogliamo – con l’unica differenza che prima noi “comuni mortali” non ne sapevamo nulla.

Photo by Caspar Camille Rubin on Unsplash

5/5 (1)

Che te ne pare?

Grazie per aver letto Data leak di Twitch: quello che sappiamo (e cosa fare) di Salvatore Capolupo su Trovalost.it
Data leak di Twitch: quello che sappiamo (e cosa fare) (News, Nuove tecnologie)

Articoli più letti su questi argomenti:

Seguici su Telegram: @trovalost