Как раз когда мы подумали, что длительный простой Facebook станет самой большой новостью в области кибербезопасности за неделю, хакеры полностью уничтожили Twitch , перелистывая исходный код сайта и раскрывая все, от того, сколько зарабатывают лучшие стримеры (много) до существования Steam. -подобный игровой клиент Twitch под кодовым названием Vapor, который находится в разработке .
Twitch все еще пытается выяснить, что именно произошло, но пока разворачивается внутреннее расследование - а это вполне может занять много времени, учитывая масштаб взлома, - эксперты по безопасности предупреждают о потенциально ужасных последствиях для платформы прямой трансляции.
«Чтение утечки данных, включая весь исходный код, включая невыпущенное программное обеспечение, SDK, финансовые отчеты и внутренние инструменты красной команды, заставит содрогнуться [позвоночник] любого опытного профессионала в области информационной безопасности», - сказал основатель и генеральный директор ThreatModeler Арчи Агарвал Threatpost блог. «Это настолько плохо, насколько это возможно».
«Первый вопрос, который у всех на уме, должен быть:« Как же, черт возьми, кто-то смог эксфильтровать 125 ГБ самых конфиденциальных данных, которые только можно вообразить, не вызвав ни единого сигнала тревоги? » Внутри компании будут заданы очень сложные вопросы ".
Наш коллега Ян Браунхилл, директор по информационной безопасности в Future, которая управляет PC Gamer, сказал, что кража исходного кода Twitch может дать злоумышленникам «полное представление» о системах и инфраструктуре платформы и выявить другие слабые места, которые могут сделать возможными атаки в будущем - не только против Twitch, но и против его материнской компании Amazon.
Этот риск потенциально может быть повышен, если злоумышленники являются идеологами, как это представляется в настоящее время, а не криминальными или государственными. «Денежное вознаграждение ограничено, если не удастся получить выкуп», - сказал Браунхилл. "Преступные группировки хотят кредитные карты (или PII [личную информацию] в меньшей степени), которые, похоже, не являются целью здесь, или требуют выкупа. Это не [вероятно] национальное государство - они хотят получить Colonial Pipeline , уничтожение критически важных объектов инфраструктуры (или вмешательство в выборы) - хотя все это ведет к Джеффу Безосу, этого нельзя полностью исключать ».
Джонатан Кнудсен, старший стратег по безопасности Synopsys Software Integrity Group, повторил эту мысль в своем заявлении, заявив, что доступ к источнику дает злоумышленникам возможность «перепроектировать программные приложения, чтобы понять, как они работают», и что любой в мире, кому нужен исходный код Twitch теперь могу это получить.
«Что бы Twitch ни делал для обеспечения безопасности приложений, им необходимо удвоить свои усилия», - сказал Кнудсен. «Теперь любой может запускать статический анализ, интерактивный анализ, фаззинг и любые другие инструменты тестирования безопасности приложений. Twitch необходимо будет вывести безопасность своих приложений на новый уровень, обнаруживая и устраняя уязвимости, прежде чем кто-либо другой сможет их найти».
Но устранение брешей в безопасности заходит так далеко, когда, как объяснил Браунхилл, взломы часто не являются результатом голливудских шуток с высокими технологиями, а являются простым использованием человеческой слабости, включая «фишинг для перехвата учетных данных с последующим перемещением по сторонам и повышением привилегий». [или] действия недовольного сотрудника ". Фактически, «фишинговая атака по телефону» - это то, как подросток из Флориды смог захватить десятки известных аккаунтов в Твиттере (и украсть более 117000 долларов) в 2020 году.
Из-за этой присущей уязвимости менеджер по продукции Comforte AG Тревор Морган сказал, что таким компаниям, как Twitch, необходимо больше сосредоточиться на «ориентированных на данные» подходах к безопасности, а не тратить все свои ресурсы на защиту от хакеров. «Угрожающие субъекты будут проникать через любой периметр, созданный для их защиты», - сказал он. «Защита самих данных сделает этот главный приз бесполезным на черном рынке и смягчит негативные последствия успешного взлома».
Хорошая новость для пользователей Twitch заключается в том, что на данный момент личные данные, такие как имена пользователей, пароли и информация о кредитных картах, не доступны через утечку, хотя Кнудсен сказал, что опубликованные данные действительно включают хешированные пароли. Нам нужно будет подождать, пока Twitch подтвердит степень потери данных, но тем временем пользователи должны как минимум как можно скорее изменить свои пароли. Также было бы неплохо включить двухфакторную аутентификацию, и если вы использовали тот же пароль на других сайтах, измените его повсеместно, чтобы избежать атак с "набивкой учетных данных", когда хакеры пытаются использовать комбинации имени пользователя и пароля в различных места. Вам также следует опасаться любых последующих запросов о предоставлении личной информации.
«Подобные вещи могут привести к еще большему количеству вторичных фишинговых кампаний», - сказал Браунхилл. «Люди [могут] притворяться Twitch, предлагая поддержку / компенсацию / услуги, чтобы обманом заставить людей передать больше информации».
