Cosa è successo a Twitch e perché dovrebbe farci riflettere? La notizia del data leak ha avuto pronta diffusione e conferma da parte del social network, sorprendendo non poco per la qualità e la mole di dati coinvolti. Potenzialmente: l’intera piattaforma. Fra cui: codici sorgente, tool di sicurezza, codici dei servizi collegati, documentazione interna e piani strategici, compensi degli streamer. Circa 128 Gb di informazioni, fra cui non è confermato che vi siano anche i dati personali degli utenti della piattaforma.
L’attacco dei cybercriminali ha avuto buon esito per un errore di configurazione di server. La stessa Twitch dichiara: “We have learned that some data was exposed to the internet due to an error in a Twitch server configuration change that was subsequently accessed by a malicious third party” negli aggiornamenti riferiti all’investigazione dell’incidente. E dunque: dopo il disastro di Facebook, anche in questo caso l’elemento irrisolto di vulnerabilità è riconducibile al fattore umano.
Se però il danno per la piattaforma è senz’altro significativo a livello strategico, reputazionale ed economico-finanziario, anche l’avvenuta pubblicazione dei guadagni degli streamer ha comportato e comporterà conseguenze – più o meno gravi – nei confronti di questa categoria di utenti. L’impatto analizzato non sembra poter essere ricondotto ad una stima di valore basso per cui può risolversi in un mero fastidio, in quanto la perdita di confidenzialità dell’informazione circa i guadagni conseguiti ha comunque l’effetto di causare delle difficoltà sulla vita sociale e personale degli interessati coinvolti.
Dalle risultanze investigative è stato per ora escluso che siano state compromesse credenziali di accesso (in quanto non coinvolte nel leak) e dati delle carte di credito (in quanto non in possesso di Twitch), ma l’analisi dell’incidente è tutt’ora in corso per comprendere la portata delle possibili conseguenze dell’accaduto.
Al momento, l’azione di mitigazione intrapresa nei confronti degli utenti è stata il reset delle chiavi di stream, ma il comunicato diventa una vera e propria manna per un ingegnere sociale e la progettazione di un’imminente campagna di e-mail fraudolente dirette nei confronti degli streamer con l’invito a rinnovare le chiavi aprendo un link indicato o scaricando una patch di aggiornamento allegata.
Vero: nella pagina ufficiale degli aggiornamenti è presente il link per ottenere le nuove chiavi. Dal “Depending on which broadcast software you use, you may need to manually update your software with this new key to start your next stream” si può ben comprendere che l’azione è rimessa all’utente e che Twitch certamente non contatterà i propri streamer proponendo alcun link per il rinnovo delle chiavi.
Siamo però sicuri che tutto sia stato detto nel modo più chiaro possibile per prevenire attacchi di phishing? O anche qui sarà invocato il fattore umano (stavolta lato utente) anziché trattare una vulnerabilità in modo efficace e preventivo?
