1. Home >
  2. Notícias >
  3. Notícias >
  4. Violação da Twitch mostra perigos... >

Violação da Twitch mostra perigos de escolher facilidade de acesso em vez de segurança

Invasores basicamente invadiram a casa da Twitch e limparam tudo. Acesso de privilégios mínimos e dados criptografados ajudariam a evitar esse cenário

Author Photo
4:22 pm - 15 de outubro de 2021
twitch

Nenhuma empresa quer ver suas joias da coroa expostas aos elementos, mas foi isso que aconteceu com a plataforma de streaming on-line Twitch, de propriedade da Amazon, em 6 de outubro, quando 125 GB de seus dados foram postados no 4Chan. 

Twitch, por meio de um tweet, reconheceu a violação: “Podemos confirmar que uma violação ocorreu. Nossas equipes estão trabalhando com urgência para entender a extensão disso. Atualizaremos a comunidade assim que informações adicionais estiverem disponíveis. Obrigado por nos aguentar”. Em uma postagem no blog de 6 de outubro, a empresa culpou “um erro em uma alteração na configuração do servidor Twitch que foi posteriormente acessada por um terceiro malicioso”. Assim, Twitch apontou o dedo para a publicação de 125 GB de informações internas confidenciais para um terceiro externo e não para um insider mal-intencionado. 

O que exatamente saiu pela porta e entrou no 4Chan? De acordo com o Video Games Chronicle, que primeiro relatou a violação, os seguintes conjuntos de dados foram expostos: 

  • Todo o código-fonte da Twitch com histórico de commits “voltando aos seus primórdios” 
  • Relatórios de pagamento para criadores de 2019 
  • Clientes Twitch móveis, de desktop e de console 
  • SDKs proprietários e serviços internos da AWS usados pela Twitch 
  • “Todas as outras propriedades que a Twitch possui” incluindo IGDB e CurseForge 
  • Um concorrente não lançado do Steam, de codinome Vapor, da Amazon Game Studios 
  • Ferramentas internas de red-teaming da Twitch 

O serviço forçou uma atualização das chaves de transmissão de todos os usuários em 7 de outubro. Desde então, tem havido silêncio no blog da Twitch. 

A importância do acesso com privilégios mínimos 

A configuração incorreta de um servidor, deixando um caminho direto para as joias da coroa desprotegidas da Twitch, levanta questões em torno dos conceitos básicos de acesso com privilégios mínimos.

O ciberevangelista da Cymulate, David Klein, observa como não é uma boa ideia para os CISOs “ter tudo, incluindo código-fonte, registros contábeis para streamers, senhas criptografadas e projetos não lançados para competir com Valve/Steam acessível. Isso é mau. Privilégios mínimos básicos para administradores, segmentação interna e compreensão de onde seus dados estão e quem tem acesso são de suma importância”. 

Do ponto de vista distante que compartilhamos de fora para dentro, as perguntas que os CISOs devem se fazer incluem: 

  • As joias da coroa que devo proteger estão devidamente protegidas? 
  • A observação de Klein sobre a facilidade de acesso superando a segurança se aplica? 
  • Nossos conjuntos de dados são criptografados, com as chaves fornecidas para aqueles com acesso comprovado e apenas quando esse acesso é necessário? 

“Sua moeda (dados) tem um valor no mercado, então a proteção contra roubo e uso indevido começa no ponto de criação (moeda) e viaja com a moeda”, observa Michael Quinn, CEO da Active Cypher. “As empresas arriscam a marca, os clientes e a confiança quando a moeda é desvalorizada. Um bom exemplo: a criptografia de disco completo não protege você quando seus dados estão “descansando” e estão em movimento novamente. Precisamos entender que os dados (moeda) têm muitos estados em seu ciclo de vida que exigem criptografia (em repouso, em trânsito, no armazenamento, em uso ou sendo criado)”. 

Quinn conclui com conselhos para CISOs: “A arquitetura de criptografia ponta a ponta é um alvo móvel, o terminal são os dados, não um local, dispositivo ou serviço. Você pode ir além da criptografia de sua moeda/dados e eliminar os riscos de permitir que sua moeda viaje mesmo como bits de codificação? O processo existe e, quando aplicado, garante que o ciclo de vida de moeda/dados seja seguro e sob a propriedade, administração e gerenciamento de uma “cadeia de fornecimento de dados segura”. 

O serviço de streaming agora se depara com o conhecimento de que quaisquer vulnerabilidades pendentes em seu código-fonte que estavam na proverbial lista de tarefas correm o risco de serem detectadas por qualquer vilão interessado com o objetivo de atacar o serviço de streaming downstream e devem ser mitigadas rapidamente. 

O servidor mal configurado da Twitch fala sobre o risco apresentado pelos dispositivos e máquinas no ecossistema de cada empresa. A amplitude dos dados expostos cruza muitas disciplinas profissionais, engenharia de software, UX, produção, contabilidade e atendimento ao cliente, o que sugere um mínimo de conhecimento da Twitch e seus processos internos, procedimentos e regras de segmentação de dados. 

Como que o “terceiro malicioso” (externo ou interno) que comprometeu a Twitch foi capaz de atravessar o ecossistema do serviço ainda não foi divulgado. É algo que, se for disponibilizado, os CISOs estarão bem servidos para aceitar e assimilar as lições em sua instância. Klein diz o que muitos CISOs podem estar pensando: “Se este não for um insider, então a situação é pior”. 

Tags:
cibersegurança
invasão
Twitch

Notícias relacionadas

Notícias
Tecnologia apoia a comprovação do ROI de ações ESG
Notícias
EXCLUSIVO: Procergs migra dados para a nuvem em caráter de urgência por risco de inundação no RS
Notícias
Arquiteturas híbridas de cloud: por que o tema voltou à tona?
Notícias
GDM e Black & Decker: casos de uso com a IA generativa
Ver todas as noticias

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.