Legutóbb a Cyberblog témája a Twitch és az adatvédelem volt, ugyanezt a kérdést fogjuk ebben a blogposztban kicsit más aspektusból megközelíteni, azaz hogy mi vezethetett az események bekövetkezéséhez.
A Twitch (stream platform) kiberincidenst szenvedett el 2020. októberében. Az incidens során körülbelül 130 gigabájtnyi adat vált nyilvánosan elérhetővé. A szolgáltató által kiadott közlemény nagyon kevés konkrét információt tartalmaz: szerintük felhasználói (belépési adatok, bankkártya) adatok nem szivárogtak ki, illetve főleg forráskód és a tartalomgyártók fizetései váltak publikussá. A kiberincidens szempontjából az, hogy a szolgáltató mindössze egy féloldalas blogüzenetet ír, egyáltalán nem mondható a „legjobb gyakorlatnak”. Ha kevés az elérhető információ az eseményről, a felhasználók találgatni, illetve félinformációkat, álhíreket kezdenek terjeszteni közösségi médiában az eseményről. Ez pedig tovább növeli a szituáció körüli bizonytalanságot. Ilyen esetben nem tekinthető a titkolózás jó lépésnek, mivel az incidens már megtörtént; a titkolózás nem fogja ezt helyrehozni, csak a felhasználókban kelt több zavart az eseménnyel kapcsolatban.
Ebben a blogposztban az incidenssel kapcsolatos kiberelemeket igyekeztem összerakni – mivel szolgáltatótói oldalról kevés információ elérhető, így közösségi médiabeli (Reddit) postokra támaszkodtam.
Mi lehetett az incidens kiindulópontja?
A sors iróniája picit, hogy az incidens előtt egy nappal a következőt osztotta meg Twitch a Twitter-fiókján:
Viccet félretéve, az alapvető kiindulópontot a Redditen is fejtegették a felhasználók, és az egész helyzet alapját a platform elavult biztonsági gyakorlata adta. Ha a Twitch Security oldalát megnézzük, akkor látható, hogy eléggé elavult a bug- és hibabejelentési metódusa. Egy ilyen nagy platformnál már szükséges az, hogy a hibakeresésbe a felhasználókat is bevonják, vagyis a felhasználók magukat bevonhassák. Ez például egy másik nagyobb vállalat (Google) esetében úgy működik, hogy a felhasználók a felfedezett hibákat, sérülékenységeket beküldhetik, és anyagi jutalomban is részesülhetnek a sérülékenység súlyossága mértékében. Ez ad egy pozitív jutalmazást azoknak, akik felfedeznek egy sérülékenységet, hogy ne az oldallal szemben használják ki, hanem értesítsék a fejlesztőket. A Google esetében külön weboldal is elérhető, ahol tájékoztatást kaphatnak az érdeklődők az egész rendszer működésével kapcsolatban. A Twitch esetében az, hogy milyen jutalmak vannak, illetve hogyan és milyen módon lehet jelenteni sérülékenységeket, komoly keresés után is nehezen felfedezhető. Ez pedig nem egy jó jel, az oldal tulajdonképpen csak egy „köszönöm” listát” mutat, amit elismerten nem is frissítenek már (egy ideje):
Ezt azért a felhasználók is pedzegették, hogy tulajdonképpen miért is öljenek akár több napnyi munkaórát hibakeresésbe, hogyha a platform semmilyen jutalmat nem ad a feltárt sérülékenységekért, míg ha harmadik félnek eladják, akkor még akár pénzt is kaphatnak érte.
Incidens és a kiindulópont kapcsolata
Mint ahogy a bevezetőben is írtam, mind az incidens, mind a kiindulópont meghatározása sajnos csak közösségimédia-forrásokra támaszkodva lehetséges, mert a szolgáltató nem publikált elegendő információt az eseményről. A hivatalos forrás viszont azt megerősíti, hogy a tartalomgyártói bevételekkel kapcsolatos információk szivárogtak ki. Továbbá nem hivatalos források szerint még:
- Twitch teljes forráskódja – teljesen az oldal indulása óta
- 2019-es tartalomgyártó (streamer) kifizetések
- Mobil, asztali és konzol kliensinformációk
- Saját SDK-k és belső AWS-szolgáltatások
- Más Twitch által birtokolt platformok (pl.: IGDB és CurseForge)
- AmazonGameStudios új videojáték platformja, mely a Steam versenytársa akar lenni. Jelenlegi kódneve Vapor
- Twitch belső „red teaming” eszközei
Ezen információk alapján látható, hogy az incidens célpontja nem a felhasználói adatok megszerzése volt, hanem inkább Twitchnek egy „pofon adása”. A stream platform hosszú éveken át titokban tartotta azt, hogy a tartalomgyártók mekkora juttatást kapnak. Ezekkel kapcsolatban mindig csak találgatásokat, tippeket lehetett felfedezni különböző médiaforrásokban, de egyértelmű információ sosem volt erről. Ennek az okát csak találgatni lehet, de a legvalósabb: a platform nem akarta a felhasználók tudomására hozni azt, hogy milyen nagy összegeket kapnak bizonyos streamerek. A leaket posztoló felhasználók alapján 2019. augusztusa és 2021. októbere között a legnépszerűbb tartalomgyártó 9,6 millió dollárt, míg a 25. helyen lévő tartalomgyártó 2 millió dollárt kapott. Azt kiemelten fontos megjegyezni, hogy ez nem a teljes bevételük, ugyanis a streamerek bevételeik másik kiemelt részét harmadik felektől kapják (pl.: nézői [pénz]adományok, hirdetések, szponzorációk), tehát nem a Twitch fizeti ki ezeket. Az adatszivárgás így feltételezhetően a feliratkozásokból, és a bitekből eredő kifizetéseket tartalmazza. Az adatszivárgás továbbgyűrűzött, és több felhasználó elkezdte fejtegetni, mennyi az a tényleges összeg, amit a streamerek keresnek egy hónapban. Mivel az elmúlt fél évben „irritáló” mennyiségben elszaporodtak a szerencsejáték streamek a platformon, amelyek külön szponzorációs kifizetésűek, így a tényleges összeg jóval magasabb. Kimentett Discord üzenetek, illetve stream alatti elszólások alapján körülbelül havi szinten a legnagyobbak 1,5–2 millió dollárt is keresnek. Ezeket az információkat a platform kifejezetten titkolni próbálta, és most az adatszivárgás elindított egy láncreakciót, amely során a felhasználók fejtegetik a tényleges bevételeit a platformnak.
Összességében elmondható, hogy az egész incidens kiindulópontja az, hogy a platform semmilyen jutalmat nem kínált azoknak, akik segíteni próbálták a fejlesztést hibák feltárásával, így a támadók az egyik legvédettebb dolgot publikálták: a kifizetéseket, és láncreakcióval elindították a szponzorációk általi kifizetések fejtegetését.
Források
Twitch – Updates on the Twitch Security Incident 2021. October 15.
A Twitch Twitter fiókja:
A Reddit Twitch subredditje:
KnowS0mething Twitter fiókja.
VideoGamesChronicle: ”The entirety of Twitch has reportedly been leaked SOURCE CODES AND USER PAYOUTS AMONG THE DATA RELEASED IN A 128GB TORRENT” – Chris Scullion
