Un pirate informatique anonyme prétend avoir divulgué l’intégralité de Twitch, y compris son code source et les informations de paiement de l’utilisateur.
L’utilisateur a publié mercredi un lien torrent de 125 Go sur 4chan, déclarant que la fuite était destinée à « favoriser davantage de perturbations et de concurrence dans l’espace de streaming vidéo en ligne » car « leur communauté est un cloaque toxique dégoûtant ».
VGC peut vérifier que les fichiers mentionnés sur 4chan sont publiquement disponibles au téléchargement comme décrit par le pirate anonyme.
Une source anonyme de l’entreprise a déclaré à VGC que les données divulguées étaient légitimes, y compris le code source de la plate-forme de streaming appartenant à Amazon.
En interne, Twitch est au courant de la violation, a déclaré la source, et on pense que les données ont été obtenues pas plus tard que lundi. Nous avons demandé des commentaires à Twitch et mettrons à jour cette histoire lorsqu’elle répondra.
[UPDATE: Twitch has confirmed the leak is authentic: “We can confirm a breach has taken place. Our teams are working with urgency to understand the extent of this. We will update the community as soon as additional information is available. Thank you for bearing with us.”]
Les données Twitch divulguées comprendraient :
- L’intégralité du code source de Twitch avec l’historique des commits « remontant à ses débuts »
- Rapports de paiement des créateurs de 2019
- Clients Twitch mobiles, de bureau et de console
- SDK propriétaires et services AWS internes utilisés par Twitch
- « Toutes les autres propriétés que Twitch possède », y compris IGDB et CurseForge
- Un concurrent Steam inédit, nommé Vapor, d’Amazon Game Studios
- Outils internes de « red teaming » de Twitch (conçus pour améliorer la sécurité en faisant en sorte que le personnel se fasse passer pour des pirates informatiques)
Certains utilisateurs de Twitter ont commencé à parcourir les 125 Go d’informations qui ont fuité, l’un d’eux affirmant que le torrent comprend également des mots de passe cryptés et recommandant aux utilisateurs d’activer l’authentification à deux facteurs pour être sûr.
Si vous avez un compte Twitch, il est recommandé d’activer également l’authentification à deux facteurs, ce qui garantit que même si votre mot de passe est compromis, vous avez toujours besoin de votre téléphone pour prouver votre identité à l’aide d’un SMS ou d’une application d’authentification.
Pour activer l’identification à deux facteurs :
- Connectez-vous à Twitch, cliquez sur votre avatar et choisissez Paramètres
- Accédez à Sécurité et confidentialité, puis faites défiler jusqu’au paramètre Sécurité
- Choisissez Modifier l’authentification à deux facteurs pour voir si elle est déjà activée. Sinon, suivez les instructions pour l’allumer (vous aurez besoin de votre téléphone)
[UPDATE: Twitch has said there’s “no indication” that login details were exposed in Wednesday’s data leak, and that credit card information wasn’t taken.]
Le torrent comprendrait également le code Unity pour un jeu appelé Vapeworld, qui semble être un logiciel de chat basé sur le concurrent Steam inédit d’Amazon, Vapor.
Pendant ce temps, Vapor, le nom de code d’un concurrent présumé de Steam en développement, est censé intégrer de nombreuses fonctionnalités de Twitch dans un magasin de jeux sur mesure.
Enfin, les documents divulgués montreraient que des streamers populaires tels que Shroud, Nickmercs et DrLupo ont gagné des millions en travaillant avec la populaire plate-forme de streaming.
Ce qu’il n’inclut pas, c’est l’argent que les streamers ont gagné en dehors de Twitch, y compris les marchandises, les revenus YouTube, les parrainages et les dons externes.
Malgré cette mise en garde, la liste montre que 81 streamers Twitch ont été payés plus d’un million de dollars par Twitch depuis août 2019.
Le responsable de la fuite anonyme a déclaré qu’il ne s’agissait que de la première partie du contenu qui devait être divulgué, mais n’a pas précisé ce qu’il prévoyait de publier également.
Un expert en cybersécurité a déclaré mercredi que, s’il était pleinement confirmé, le piratage de Twitch « sera la plus grande fuite que j’aie jamais vue ».
Twitch s’est régulièrement retrouvé sous le feu des créateurs et des utilisateurs qui estiment que le site ne prend pas assez de mesures contre les membres problématiques de la communauté Twitch.
Le mois dernier, un groupe de streamers Twitch a appelé d’autres chaînes et téléspectateurs à boycotter le site pendant 24 heures en réponse aux raids haineux.
Le jour même de l’annonce initiale de la campagne, Twitch a posté un fil sur Twitter expliquant qu’il tentait d’arrêter les raids haineux mais que ce n’était pas « une simple solution ».
« Personne ne devrait avoir à subir des attaques malveillantes et haineuses en fonction de qui il est ou de ce qu’il représente », a-t-il déclaré. « Ce n’est pas la communauté que nous voulons sur Twitch, et nous voulons que vous sachiez que nous travaillons dur pour faire de Twitch un endroit plus sûr pour les créateurs.
« Les attaques de spam haineux sont le résultat de mauvais acteurs très motivés et n’ont pas de solution simple. Vos rapports nous ont aidés à prendre des mesures – nous avons continuellement mis à jour nos filtres de mots interdits sur l’ensemble du site pour aider à prévenir les variations sur les insultes haineuses et à supprimer les bots lorsqu’ils sont identifiés.
« Depuis des mois, nous développons une détection d’évasion d’interdiction au niveau de la chaîne et des améliorations de compte pour lutter contre ce comportement malveillant. Cependant, alors que nous travaillons sur des solutions, les mauvais acteurs travaillent en parallèle pour trouver des moyens de les contourner – c’est pourquoi nous ne pouvons pas toujours partager les détails.