Bányász Péter – Dub Máté
Napjainkban a különböző streaming szolgáltatások fénykorukat élik, illetve folyamatosan nő azok száma, akik előfizetői valamilyen médiaszolgáltatóknak. Az egyik nagy, ismert, és milliók által látogatott portál, az Amazon tulajdonában álló twitch.tw. Az oldal 2020-ban 18,6 milliárd órányi megtekintést tudhatott magáénak, ezzel a legnagyobb élő videómegosztó weboldalnak mondhatja magát. Ugyan nem filmek vagy sorozatok streamelésével, hanem különböző videójáték-közvetítéssel foglalkozik, ez a fajta kikapcsolódás az elmúlt egy évtizedben számos új felhasználót ültetett a monitorok elé, amely tendencia évről-évre növekszik.
A Twitch mint szolgáltató 2011-es létrejötte óta mára a Netflix, a Google és az Apple után a negyedik legnagyobb forgalmat generáló weboldal. De hogyan is néz ki ez a statisztikákban bemutatva? 2020-ra elmondható a korábban említett 18,6 milliárd órányi megtekintés mellett, hogy:
- a felhasználók napi szinten átlagosan 71 millió órányi videót tekintenek meg;
- az aktív napi felhasználók száma 15 millió főre tehető;
- havi szinten 2,2 millió streamer közvetíti élőben gameplayeit;
- havi szinten 140 millió felhasználó látogat el az oldalra;
- havi szinten 9,2 millió aktív streamer oszt meg tartalmakat ;
- az átlagos felhasználó pedig naponta 95 percet tölt az oldalon.
Mi történt 2021. október 6-án?
Ahogy a legtöbb népszerű, milliók által látogatott, hatalmas profitot termelő online szolgáltató – mint amilyen a Twitch.tw is –, előbb-utóbb a különböző kiberbűnözők, és általuk elkövetett kibertámadások célpontjává válik. Ez alól ezen streaming portál sem jelentett kivételt.
Az aradi vértanúk emléknapjának reggelén jelentek meg a történelmi cikkek mellett az első hírek, miszerint egy ismeretlen felhasználó által a 4chan-en egy 125 gigabájtnyi torrent link jelent meg, mely a Twitch belső kódjait és dokumentumait, vállalati információit, valamint több ezer, a legnagyobb streamereknek kifizetett összegeket tartalmazott. Ezek közé tartozott a Twitch forráskódja, a biztonsági eszközei, a szoftverfejlesztői készlethez tartozó forráskód, technikai részletek, olyan termékekről és platformokról, melyek még meg sem jelentek, valamint a Twitch által a streamereknek kifizetett pénzek az elmúlt három évből, illetve az Amazon még ki sem adott játékpiacterének, a Vapor-nak a részletei, mely az eddigi legnagyobb ilyen jellegű adatszivárgássá nőtte ezáltal ki magát. A közzétevő felhasználó ezeken felül utalt arra, hogy további adatokat és információkat is publikálni fog az elkövetkező időszaban. A kiszivárgott adatok valódiságát a szivárgást követő napokban több streamer is megerősítette, mely szerint a közzétett kifizetések teljesen megfelelnek a valóságnak, így igazolva az adatszivárgás igazságtartalmát.
A szivárogtató felhasználó motivációjaként egyrészt megjelenik a Twitch mint streaming szolgáltató monopolhelyzetének a megdöntésére tett kísérlet, a kisebb megosztók esetleges felzárkózásának és a versenyben történő elősegítésének lehetősége. Másrészt pedig az ismeretlen felhasználó hangot adott a közösségről alkotott véleményének, mely szerint az egy „undorító toxikus emésztőgödör”, mely utal a személyes indíttatására.
A Twitch nem sokkal a bejelentés után reagált a történésekre. Álláspontjuk szerint a jogsértést egy szerverkonfigurációs változás / szerverkonfigurációs módosítás okozta, amelyhez ezt követően egy rosszindulatú harmadik fél férhetett hozzá. A konzekvencia ezáltal tulajdonképpen az, hogy a Twitch egyik munkatársa rosszul állította be a privát adatokat tároló számítógépeket, ezáltal vált elérhetővé és letölthetővé a támadók számára az adatbázis. Egyes meg nem erősített vélekedések szerint pedig az is előfordulhat, hogy belsős információt használtak ki a hackerek. A vállalat ezt követően annyit kommunikált a szivárgás kapcsán, hogy mindössze néhány adat került ki a nyilvánosság elé, amelynek hitelessége a korábban ismertetett igazságtartalom kérdésének tudatában nem megkérdőjelezhető, illetve maga a cég sem cáfolta az adatok valódiságát.
Összességében a jelenleg rendelkezésre álló információk kapcsán elmondható, hogy a különböző felhasználói adatok, felhasználónevek és jelszavak, banki adatok és pénzügyi információk egyelőre nem kerültek nyilvánosságra, ám az első hírek konklúziójaként minden felhasználót arra biztattak, hogy változtassák meg jelszavaikat a platformon.
Mik a tanulságok?
Sajnos elmondható a legtöbb sikeres kibertámadás kapcsán, hogy az emberek csak a baj bekövetkezte után kezdenek el gondolkodni azon, hogy vajon mi okozhatta a problémát. Bár jelen esetben nem beszélhetünk jelszavak konkrét kiszivárgásáról – illetve ez esetben is titkosított kódok lennének az érintettek –, viszont az első hírek tanulsága, ahogy már fentebb írtuk is, az volt, hogy mindenképpen változtassuk meg a felhasználói fiókunkhoz tartozó jelszavunkat. Ezzel kapcsolatban viszont nem elhanyagolhatók a kapcsolódó problémakörök.
Ezen problémakörök vizsgálatához egy lépést kell tennünk hátra. Az alapvető kiberfenyegetettségekkel szembeni elsődleges lépés a megfelelő biztonságtudatosság. Jelen példát és kompromittációt figyelembe véve a felhasználók jelentős többsége jóval nagyobb biztonságban érezhette volna magát, ha az adott platformhoz tartozó jelszava, és az e-mail címéhez tartozó jelszava nem lett volna ugyanaz, amely valljuk be, rendszeresen előfordul. További probléma, hogy ezen felhasználók jelentős része rendelkezik Steam-es profillal, amelyeken a legtöbb felhasználó banki adatai automatikusan el vannak mentve, így mindössze néhány kattintással lehet a platformon fizetni a különböző tartalmakért.
Összességében az eset közvetlen tanulságaiként – az adat és információbiztonsági tudatosság jegyében – elmondható, hogy a legbiztosabb módja az ilyen kompromittációknak az elkerülésére az, ha a lehető legtöbb (minden) felhasználói fiókunkhoz más-más jelszavakat használunk, de ha még van is egyezés, akkor a regisztrációhoz használt e-mail fiókunk és az adott szolgáltatónál meglévő felhasználói fiókunk jelszava ne legyen ugyan az! Az internetes fizetést tartalmazó platformokon belül ne jegyeztessük meg banki adatainkat! Használjunk kétfaktoros azonosítást, és legyen biztonsági „back-up” e-mail címünk csatolva a fiókokhoz. Természetesen nehéz jó jelszavakat alkotni… Az alapvető szabályok mellett érdemes nemszótári jelszavakat használni, vagyis kvázi „értelmetlen” jelszavakat kreálni kis- és nagy betűkkel, speciális karakterekkel, számokkal. Lehetőleg minél egyedibb legyen, és ne legyen a személyünkhöz kapcsolódó. Az egyik legjobb módja ennek egyéni szabályok alkotása, melyek kapcsán könnyedén megjegyezzük új jelszavainkat, vagy bátran használhatunk – megbízható – jelszómanager és -generátor programokat is.
Ha kíváncsiak vagyunk, hogy kiszivárgott-e már bármilyen jelszavunk és e-mail címünk, akár évekkel ezelőtt, úgy látogassunk el a https://haveibeenpwned.com/ oldalra. Itt látható e-mail címünk megadását követően az, hogy váltunk-e már akár tudtunk nélkül különböző adatszivárgások áldozatává. Természetesen amennyiben azt látjuk, hogy az e-mail címünkkel kapcsolatban történt ilyen, úgy érdemes egy átfogó jelszóváltást eszközölni, ám ha szerencsések vagyunk, és nem történt még ilyen, az esetben is fokozottan oda kell figyelnünk az alapvető biztonságtudatos magatartásra, hogy egy támadáskor a lehető legkisebb eséllyel válhassunk áldozatokká.
Felhasznált források:
- https://mediakix.com/blog/top-twitch-statistics-live-streaming-game-platform/
- https://www.theverge.com/2021/10/6/22712250/twitch-hack-leak-data-streamer-revenue-steam-competitor
- https://www.theverge.com/2021/10/6/22712365/twitch-data-leak-breach-security-confirmation-comments
- https://www.videogameschronicle.com/news/the-entirety-of-twitch-has-reportedly-been-leaked/
- https://www.bbc.com/news/technology-58817658
Nyitókép forrás: Pexels.