Dopo la conferma di ieri, Twitch ha fornito ulteriori dettagli sul furto dei dati, specificando che non sono stati sottratti i dati degli utenti. In seguito alle prime indagini effettuate dall’azienda (sussidiaria di Amazon da agosto 2014) sembra che la causa del leak sia l’errata configurazione di un server. Come precauzione sono state resettate tutte le chiavi di stream.
Twitch: leak dovuto ad un errore di configurazione
Ieri un utente ha pubblicato su 4chan il link torrent di un archivio da 125 GB che contiene l’intero codice sorgente di Twitch.tv, il codice sorgente dei client per desktop, mobile e console, vari SDK, i tool di sicurezza interni, i dati relativi ad un competitor di Steam (non ancora annunciato) e i compensi degli streamer dal 2019 ad oggi. Qualche ora dopo, Twitch ha confermato il “data breach”:
We can confirm a breach has taken place. Our teams are working with urgency to understand the extent of this. We will update the community as soon as additional information is available. Thank you for bearing with us.
— Twitch (@Twitch) October 6, 2021
L’azienda ha successivamente comunicato che il leak è stata facilitato da una modifica effettuata alla configurazione di un server. In pratica, qualcuno ha commesso un errore imperdonabile, rendendo accessibile da Internet un server interno. Twitch ha confermato che i dati personali degli utenti (password, email e altri) sono al sicuro. I numeri delle carte di credito non sono invece conservati sui server di Twitch.
Out of an abundance of caution, we have reset all stream keys. You can get your new stream key here: https://t.co/Lby1wfS0Ss. For more information, please visit the Twitch blog: https://t.co/JDXlpO0pY4
— Twitch (@Twitch) October 7, 2021
In ogni caso il consiglio è quello di cambiare la password e attivare l’autenticazione in due fattori. Come precauzione aggiuntiva, l’azienda ha resettato tutte le chiavi di stream. È possibile ottenere una nuova chiave a questo indirizzo. Chi utilizza Twitch Studio, Streamlabs, Xbox, PlayStation, app mobile e OBS (con account Twitch collegato) non deve fare nulla, mentre per gli altri software di streaming è necessario inserire la chiave manualmente.