Как раз когда мы подумали, что длительный простой Facebook станет самой большой новостью в области кибербезопасности за неделю, хакеры полностью уничтожили Twitch, перелистывая исходный код сайта и раскрывая все, от того, сколько зарабатывают лучшие стримеры (много) до существования Steam. -подобный игровой клиент Twitch под кодовым названием Vapor, который находится в разработке.

Twitch все еще пытается выяснить, что именно произошло, но пока разворачивается внутреннее расследование – а это вполне может занять много времени, учитывая масштаб взлома, – эксперты по безопасности предупреждают о потенциально ужасных последствиях для платформы прямой трансляции.

“Чтение утечки данных, которое включает в себя весь исходный код, включая невыпущенное программное обеспечение, SDK, финансовые отчеты и внутренние инструменты красной команды, вызовет содрогание [the spine of] любой опытный профессионал в области информационной безопасности, – сказал в блоге Threatpost основатель и генеральный директор ThreatModeler Арчи Агарвал. – Это настолько плохо, насколько это вообще возможно ».

«Первый вопрос, который у всех на уме, должен быть:« Как, черт возьми, кто-то смог извлечь 125 ГБ самых конфиденциальных данных, которые только можно вообразить, не сработав ни единой сигнализации? » Внутри компании будут заданы очень сложные вопросы “.

Наш коллега Ян Браунхилл, директор по информационной безопасности в Future, которая управляет PC Gamer, сказал, что кража исходного кода Twitch может дать злоумышленникам «полное представление» о системах и инфраструктуре платформы и выявить другие слабые места, которые могут сделать возможными атаки в будущем – не только против Twitch, но и против его материнской компании Amazon.

Этот риск потенциально может быть повышен, если злоумышленники являются идеологами, как это представляется в настоящее время, а не криминальными или государственными. «Денежное вознаграждение ограничено, если не удастся получить выкуп», – сказал Браунхилл. “Преступные группировки хотят кредитные карты (или PII [personally identifiable information] в меньшей степени), который, похоже, не является целью здесь или требует выкупа. Это не [likely] национальное государство – они хотят колониального трубопровода, уничтожения критически важных инфраструктурных объектов (или фальсификации выборов) – хотя, поскольку все это ведет к Джеффу Безосу, этого нельзя полностью исключать ».

Джонатан Кнудсен, старший стратег по безопасности Synopsys Software Integrity Group, повторил эту мысль в своем заявлении, заявив, что доступ к источнику дает злоумышленникам возможность «перепроектировать программные приложения, чтобы понять, как они работают», и что любой желающий в мире хочет исходный код Twitch теперь могу это получить.

«Что бы Twitch ни делал для обеспечения безопасности приложений, им необходимо удвоить свои усилия», – сказал Кнудсен. «Теперь любой может запускать статический анализ, интерактивный анализ, фаззинг и любые другие инструменты тестирования безопасности приложений. Twitch необходимо будет вывести безопасность своих приложений на новый уровень, обнаруживая и исправляя уязвимости, прежде чем кто-либо другой сможет их найти».

Но устранение брешей в безопасности заходит так далеко, когда, как объяснил Браунхилл, взломы часто не являются результатом голливудских шуток с высокими технологиями, а являются простым использованием человеческой слабости, включая «фишинг для перехвата учетных данных с последующим перемещением по сторонам и повышением привилегий». [or] действия недовольных сотрудников ». Фактически,« фишинговая атака по телефону »- это то, как подросток из Флориды смог захватить десятки известных аккаунтов в Твиттере (и украсть более 117000 долларов) в 2020 году.

Менеджер по продукту Comforte AG Тревор Морган сказал, что из-за этой присущей уязвимости компании, такие как Twitch, нужно больше сосредоточиться на “ориентированных на данные” подходах к безопасности, а не тратить все свои ресурсы на попытки удержать хакеров. «Угрожающие субъекты будут проникать через любой периметр, созданный для их защиты», – сказал он. «Защита самих данных сделает этот главный приз бесполезным на черном рынке и смягчит негативные последствия успешного взлома».

Хорошая новость для пользователей Twitch заключается в том, что на данный момент личные данные, такие как имена пользователей, пароли и информация о кредитных картах, не доступны через утечку, хотя Кнудсен сказал, что опубликованные данные действительно включают хешированные пароли. Нам нужно будет подождать, пока Twitch подтвердит степень потери данных, но тем временем пользователи должны как минимум как можно скорее изменить свои пароли. Также было бы неплохо включить двухфакторную аутентификацию, и если вы использовали тот же пароль на других сайтах, измените его повсеместно, чтобы избежать атак с “набиванием учетных данных”, когда хакеры пытаются использовать комбинации имени пользователя и пароля в различных места. Вам также следует опасаться любых последующих запросов о предоставлении личной информации.

«Подобные вещи могут привести к еще большему количеству вторичных фишинговых кампаний», – сказал Браунхилл. “Люди [may be] притворяется Twitch, предлагающим поддержку / компенсацию / услуги, чтобы обманом заставить людей передать больше информации ».