Twitch.tv, il popolarissimo sito di streaming video in diretta di proprietà di
Amazon, è stato
messo a nudo dalla
diffusione dei suoi dati e documenti, causata da un suo errore di configurazione
che li ha resi accessibili dall’esterno e non da un attacco informatico. Dopo il disastro di Facebook, sembra che gli errori di configurazione catastrofici siano la moda del momento.

I dati in questione sono stati scaricati e ripubblicati su 4chan da ignoti
come grande file Torrent di quasi 130 GB e secondo le prime analisi
conterrebbe almeno parte del software di gestione di Twitch, alcuni progetti
non annunciati e una cartella dedicata ai pagamenti fatti a migliaia dei più
importanti streamer negli ultimi due anni, da agosto-settembre 2019
fino a ottobre di quest’anno. I dati in questa cartella sono quindi
recentissimi e documentano che in molti casi gli incassi degli
streamer ammontano a milioni di dollari per ciascuno. La
BBC ha ricevuto
conferme da alcuni di loro, per cui i dati sono almeno parzialmente autentici.

Sizeof.cat ha pubblicato un’analisi che elenca alcuni di questi incassi.
Attenzione a visitare gli account Twitch citati, perché alcuni potrebbero
essere inadatti ad ambienti di lavoro o altrimenti sensibili.

Amouranth: $92.949 on September 2021
Pokimane:
$38.217 on September 2021
moonmoon:
$83.685 on September 2021
pestily:
$105.107 on September 2021
shroud:
$96.359 on September 2021
moistcr1tikal:
$117.959 on September 2021

La top ten degli incassi lordi in dollari:

CriticalRole 9626712.16
xQcOW 8454427.17
summit1g 5847541.17
Tfue 5295582.44
NICKMERCS 5096642.12
ludwig 3290777.55
TimTheTatman 3290133.32
Altoar 3053839.94
auronplay 3053341.54
LIRIK 2984653.7

Niente male, per persone che in molti casi stanno semplicemente trasmettendo in streaming le loro sessioni di videogioco.

La fuga di dati è particolarmente imbarazzante e dannosa perché Twitch ha
sempre tenuto gelosamente segreti i guadagni dei suoi streamer. Oltretutto il
file Torrent è denominato part one, cosa che fa supporre che ci sia
altro materiale che verrà pubblicato prossimamente. 

C’è poi anche il codice sorgente del sito, dei client per dispositivi mobili, desktop e console di gioco, e c’è una cartella
infosec dedicata alle misure di sicurezza: dati che potrebbero
facilitare intrusioni.

Per gli utenti di Twitch si pone subito un problema di sicurezza: Twitch ha
annunciato
di aver resettato tutte le stream key, ossia i codici univoci usati dal
software di streaming per trasmettere video sugli specifici account della piattaforma.
Quelle nuove sono disponibili presso
https://dashboard.twitch.tv/settings/stream. 

Anche se per ora non ci sono indicazioni che i file pubblicati contengano password, è prudente cambiare la propria password su Twitch, magari cogliendo l’occasione per sceglierne una difficile e soprattutto differente da quelle usate altrove e per attivare l’antifurto, ossia l’autenticazione a due fattori.

Twitch ha inoltre dichiarato di non custodire i dati integrali delle carte di
credito degli utenti, per cui non ci dovrebbe essere il rischio di violazione
di queste carte.