Les problèmes de sécurité de Twitch ont commencé bien avant le piratage de cette semaine

Les problèmes de sécurité de Twitch ont commencé bien avant le piratage de cette semaine

Une brèche de sécurité massive chez Twitch a révélé une mine d'informations concernant le code source du site Web, des projets inédits et même combien gagnent les meilleurs streamers. Alors que les analystes de données et les journalistes s'efforcent de déchiffrer ce que contiennent exactement les centaines de gigaoctets d'informations, d'autres se demandent encore comment cela s'est produit.

Une telle brèche semblait de plus en plus probable pour certains. The Verge a parlé à plusieurs sources qui affirment que pendant leur séjour chez Twitch, l'entreprise privilégiait la vitesse et le profit à la sécurité de ses utilisateurs et de ses données.

Cette violation de données, que Twitch attribue à une erreur de configuration de serveur, est le dernier d'une série de problèmes de sécurité et de modération qui ont affecté la plate-forme de streaming appartenant à Amazon. En août, des raids haineux au cours desquels des streamers marginalisés ont été soumis à un nombre incontrôlable de bots diffusant des discours haineux ont éclaté sur Twitch.

Les streamers se sont regroupés pour créer le hashtag #twitchdobetter et ont organisé un débrayage le 1er septembre pour attirer l'attention sur le problème et inciter Twitch à déployer des mesures de sécurité pour endiguer la vague de haine. En réponse, Twitch a reconnu les plaintes des streamers, a exhorté à la patience et a promis qu'il travaillait sur des outils qui aideraient à mieux protéger les streamers et leurs communautés.

« Vous êtes nous demandant de faire mieux, et nous savons que nous devons faire plus pour résoudre ces problèmes », a déclaré Twitch dans sa réponse.

Nous avons vu beaucoup de conversations sur les bots, les raids haineux et d'autres formes de harcèlement ciblant les créateurs marginalisés. Vous nous demandez de faire mieux, et nous savons que nous devons faire plus pour régler ces problèmes. Cela inclut un dialogue ouvert et continu sur la sécurité des créateurs.

— Twitch (@Twitch) 11 août 2021

Mais les raids haineux ne sont pas apparus soudainement cet été et, selon un ancien employé de Twitch, des alarmes ont été émises sur le potentiel abus de raids bien avant que leur variété haineuse n'explose en août.

Une source, qui a parlé à The Verge sous couvert d'anonymat, a travaillé chez Twitch de 2017 à 2019. Ils ont décrit une atmosphère où les employés étaient très soucieux de la sécurité mais la direction moins.

«Il y aurait des questions et un mécontentement constants au sujet des échecs réguliers de la modération», a déclaré la source, expliquant que la direction y répondrait. mécontentement, « très lentement. »

Cette source affirme que les raids ont été discutés en interne comme étant un vecteur de harcèlement simplement nom seul et que l'équipe a dû se précipiter pour sécuriser la fonctionnalité avant sa mise en ligne. La source caractérise Twitch comme un endroit avant tout concerné par les résultats. S'il ne générait pas de revenus, alors il n'était pas évalué aussi haut.

Twitch a réinitialisé le flux de tout le monde clés.

Une autre source raconte à The Verge que Twitch a régulièrement choisi de ne pas divulguer les problèmes de sécurité auxquels il a été confronté. Un problème de sécurité non signalé est survenu en 2017, selon la source, et a ouvert la plateforme à de nouveaux risques.

Les escrocs auraient pu contacter les streamers pour demander le partage des revenus des abonnements Twitch Prime, et la source affirme que cela a conduit à la connexion de comptes Twitch à des comptes Amazon compromis.

La source note que les attaquants peuvent désormais voir les raccourcis et les API des services internes d'Amazon grâce à cette fuite. Parce que Prime Gaming d'Amazon offre des revenus aux streamers via des abonnements, la source prévient qu'il pourrait s'agir d'un nouveau vecteur d'attaque pour les pirates informatiques visant à gagner de l'argent.

Plusieurs sources décrivent Twitch comme une entreprise qui fait « semblant » de la sécurité, mais qui ne soutient pas ses paroles par des actes. Alors qu'Amazon possède Twitch, le service de streaming a eu le contrôle total de sa pile technologique. Cela signifie que Twitch utilise de nombreux services tiers qu'Amazon a traditionnellement évités. Twitch était sur Slack avant qu'Amazon ne l'adopte finalement, et deux sources affirment que Twitch a eu du mal à effectuer des audits efficaces sur les logiciels et les outils qu'il utilisait dans le passé.

La même source affirme qu'on leur a également demandé « d'approuver et d'examiner des documents » des mois après avoir quitté Twitch.

Tout cela s'ajoute à le type d'environnement désordonné où une erreur de configuration, comme celle qui s'est produite cette semaine, semblait inévitable. Twitch a subi un certain type de problème de sécurité en 2015, ce qui a conduit à un accès non autorisé sur certains comptes. Cette nouvelle violation a exposé une quantité massive de données internes à Internet, ne laissant à Twitch d'autre choix que de s'en occuper publiquement.

Twitch s'efforce maintenant de déterminer exactement combien de données ont été volées dans ce piratage. « Alors que l'enquête est en cours, nous sommes toujours en train de comprendre l'impact en détail », explique Twitch. Pendant que Twitch enquête, des centaines ou des milliers de personnes détruisent maintenant ses secrets les plus intimes.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *