Los problemas de seguridad de Twitch comenzaron mucho antes del ataque de esta semana

0
162

Una violación de seguridad masiva en Twitch ha expuesto una gran cantidad de información relacionada con el código fuente del sitio web, proyectos inéditos e incluso cuánto ganan los mejores streamers. Mientras los analistas de datos y los periodistas trabajan para descifrar qué es exactamente lo que contienen los cientos de gigabytes de información, otros todavía se preguntan cómo sucedió esto.

A algunos les parecía cada vez más probable una brecha de este tipo. The Verge ha hablado con múltiples fuentes que afirman que durante su tiempo en Twitch, la compañía valoraba la velocidad y las ganancias por encima de la seguridad de sus usuarios y la seguridad de sus datos.

Esta violación de datos, que Twitch atribuye a un error en la configuración del servidor, es el último de una serie de problemas de seguridad y moderación que han afectado a la plataforma de transmisión propiedad de Amazon. En agosto, las redadas de odio en las que los streamers marginados fueron sometidos a un número incontrolable de bots que enviaban mensajes de odio no deseados estallaron en Twitch.

Los streamers se unieron para crear el hashtag #twitchdobetter y organizaron una huelga el 1 de septiembre para llamar la atención sobre el problema y estimular a Twitch a implementar medidas de seguridad para detener la ola de odio. En respuesta, Twitch reconoció las quejas de los streamers, pidió paciencia y prometió que estaba trabajando en herramientas que ayudarían a proteger mejor a los streamers y sus comunidades.

“Nos está pidiendo que lo hagamos mejor y sabemos que debemos hacer más para abordar estos problemas”, dijo Twitch en su respuesta.

Pero las redadas de odio no aparecieron repentinamente este verano y, según un ex empleado de Twitch, se dispararon las alarmas sobre los posibles abusos de las redadas mucho antes de que su variedad de odio explotara en agosto.

Una fuente, que habló con The Verge bajo condición de anonimato, trabajó en Twitch de 2017 a 2019. Describieron una atmósfera en la que los empleados estaban muy preocupados por la seguridad pero la gestión menos.

“Habría preguntas y descontento constantes sobre las fallas regulares de moderación”, dice la fuente, explicando que la gerencia respondería a ese descontento, “muy lentamente”.

Esta fuente afirma que las redadas se discutieron internamente como un vector de acoso solo en virtud de su nombre y que el equipo tuvo que apresurarse para asegurar la función antes de que se activara. La fuente caracteriza a Twitch como un lugar que se preocupa principalmente por los resultados. Si no generaba ingresos, no se valoraba tanto.

Otra fuente le dice a The Verge que Twitch ha optado regularmente por no revelar los problemas de seguridad que ha enfrentado. Un problema de seguridad no reportado ocurrió en 2017, según la fuente, y abrió la plataforma a nuevos riesgos.

Los estafadores supuestamente pudieron contactar a los streamers solicitando el reparto de ingresos de las suscripciones de Twitch Prime, y la fuente afirma que llevó a que las cuentas de Twitch se conectaran a cuentas de Amazon comprometidas.

La fuente señala que los atacantes ahora pueden ver los accesos directos y las API para los servicios internos de Amazon gracias a esta filtración. Debido a que Prime Gaming de Amazon ofrece ingresos a los transmisores a través de suscripciones, la fuente advierte que podría ser un nuevo vector de ataque para los piratas informáticos que buscan ganar dinero.

Varias fuentes describen a Twitch como una empresa que presta atención a la seguridad, pero eso no respalda sus palabras con acciones. Si bien Amazon es propietario de Twitch, el servicio de transmisión recibió control total sobre su pila de tecnología. Eso significa que Twitch utiliza muchos servicios de terceros que Amazon tradicionalmente ha evitado. Twitch estaba en Slack antes de que Amazon finalmente lo adoptara, y dos fuentes dicen que Twitch ha tenido problemas para realizar auditorías efectivas en el software y las herramientas que ha estado usando en el pasado.

La misma fuente afirma que también se les pidió que “aprobaran y revisaran documentos” meses después de haber dejado Twitch.

Todo esto se suma al tipo de entorno desordenado donde un error de configuración, como el que ocurrió esta semana, parecía inevitable. Twitch sufrió algún tipo de problema de seguridad en 2015, lo que provocó el acceso no autorizado a algunas cuentas. Esta nueva violación ha expuesto una gran cantidad de datos internos a Internet, lo que deja a Twitch sin otra opción que abordarla públicamente.

Twitch ahora está compitiendo para averiguar exactamente cuántos datos se han robado en este truco. “Dado que la investigación está en curso, todavía estamos en el proceso de comprender el impacto en detalle”, dice Twitch. Mientras Twitch investiga, cientos o miles de personas ahora están destrozando sus secretos más íntimos.

Leave a reply