La rude semaine de Twitch
Fuite de données mercredi, defiguration de site le vendredi : la semaine passée a été plutot desagreable pour le service de streaming live Twitch. Comme l’ont rapporté plusieurs medias et utilisateurs, des attaquants sont parvenus à modifier l’image de fond du site web de streaming afin d’afficher une photo de Jeff Bezos, le fondateur et ex dirigeant d’Amazon. Une attaque de défacement de site web qui pourrait avoir plusieurs origines différentes : des attaquants ayant conservé un accès aux serveurs de Twitch suite à la fuite de données intiale, ou qui sont parvenu à identifier dans les données diffusées un identifiant d’accès ou une API interne qui pouvait être utilisée pour modifier l’apparence du site web.
L’image était la même que celle utilisée sur 4chan pour anoncer la fuite de données mercredi, mais on ne sait pas si les auteurs de cette modification sont les mêmes que ceux à l’origine de la fuite de données de mercredi. La modification s’est affichée sur les pages relatives aux differents jeux vidéo diffusé par la plateforme. Les equipes de Twitch ont corrigé le probleme dans la journée de vendredi en supprimant les images de fond sur les pages affectées. L’affichage normal des images n’a pas été retabli depuis.
Tirer le bilan
Dans une annonce hier, Twitch a indiqué avoir reinitialisé l’ensemble des clefs de streaming des utilisateurs de sa plateforme. Ces clés sont des codes uniques qui permettent de connecter un logiciel de streaming, type OBS, à un canal de diffusion sur la plateforme Twitch. Twitch avait annoncé cette reinitialisation mercredi dernier dans un email envoyé aux streamers, et a communiqué sur ce sujet de manière publique dans la journée d’hier via une mise à jour de son post de blog consacré à l’incident.
Sur son blog, Twitch indique être en toujours en train d’analyser les données ayant fuité suite à l’incident. La société rappelle ainsi que les données de carte de credit ne sont pas conservées sur sa plateforme mais sur un service tiers et qu’elles sont donc hors de portée d’une fuite de données. Le communiqué indiquait également la semaine dernière que « pour le moment, rien ne semble nous indiquer que les identifiants de connexion ont été révélés. » Pour l’instant, l’archive ne semble donc pas contenir les mots de passe des comptes utilisateurs et Twitch n’a pas declenché de reinitialisation massive des mots de passe sur la plateforme, laissant penser que les mots de passe n’ont pas été affectés.
Sur l’origine de la fuite, Twitch indique que celle ci est liée à « une erreur dans un changement de configuration de serveur Twitch auquel un tiers malveillant a ensuite eu accès » sans donner beaucoup plus de détails pour l’instant.
L’archive diffusée contient de nombreux codes sources, projets internes et données relatives à la plateforme. Des chercheurs independants se sont penchés sur l’analyse des données diffusées par les attaquants et la plupart de ceux interrogés estiment que les données correspondent bien aux fichiers indiqués dans le post 4chan annonçant la fuite.
