Un grave fallo de seguridad deja Twitch «al desnudo»

La red de streaming Twitch, propiedad de Amazon, ha confirmado que ha sufrido una brecha de seguridad unas horas después de que apareciese en el foro de mensajes 4chan un mensaje con un enlace a un archivo torrent con 125 GB de información y datos internos de Twitch. Quien ha hecho públicos los datos, según GeekWire, asegura que lo ha hecho para «promover más disrupción y competencia en el espacio de streaming de vídeo online«.

Por ahora se han desvelado como ciertos varios de los datos desvelados, como la información sobre los pagos recibidos al mes y durante los dos últimos años por algunos de los principales streamers de Twitch. Entre ellos Ibai, Auronplay, Rubius o Thegrefg. Eso sí, las cantidades no incluyen donaciones de la audiencia, acuerdos de patrocinio o ventas de merchandising. Únicamente reflejan la parte que se lleva el streamer de las tarifas de suscripción y los ingresos asociados a sus canales. Algunos medios han contactado con los streamers cuyos ingresos aparecen en la lista, y estos habrían confirmado que efectivamente, es lo que ingresan en Twitch.

Los datos que hay en la filtración son sorprendentemente exhaustivos, y al parecer lo publicado hasta ahora solo es una parte, ya que quien lo publicó ha identificado el fichero como «parte I». Al parecer, entre los datos filtrados no solo está la lista de pagos a streamers. También está el código fuente de Twitch en todas las plataformas disponibles, las herramientas de desarrollo y seguridad internas del servicio, y el historial de commits de la red hasta su fundación, mucho antes de que fuese adquirida por Amazon en 2014.

Además, la filtración tiene datos de otras propiedades menores de Amazon, como las webs CurseForge y la de Internet Games Dabatase (IDGB). También incluye información sobre proyectos futuros de Amazon Game Studios, como Amazon Vapor, una tienda digital que está en desarrollo como posible competidor para Steam, de Valve.

Desde Twitch no han confirmado a cuánta información han tenido acceso los atacantes, ya que todavía están «investigando el asunto«, y aseguran que ofrecerán más detalles cuando tengan más información al respecto. Eso sí, parece que no se han filtrado datos personales o contraseñas de los usuarios del servicio. Solo datos internos de la red. Eso sí, dado que el archivo está identificado como una primera parte, cambiar la contraseña de acceso a Twitch o activar la verificación en dos pasos no está de más, por precaución.