Fazer login no IT Mídia Redefinir senha
Bem-vindo de volta,
Digite seu e-mail e clique em enviar
Ainda não tem uma conta? Cadastre-se
Salvar em Nova pasta de favoritos

+

Criar pasta
Salvar Escolher Pasta
Violação da Twitch mostra perigos de escolher facilidade de acesso em vez de segurança
Home > Notícias

Violação da Twitch mostra perigos de escolher facilidade de acesso em vez de segurança

Invasores basicamente invadiram a casa da Twitch e limparam tudo. Acesso de privilégios mínimos e dados criptografados ajudariam a evitar esse cenário

Christopher Burgess, na CSO USA

15/10/2021 às 16h22

twitch
Foto: Shutterstock

Nenhuma empresa quer ver suas joias da coroa expostas aos elementos, mas foi isso que aconteceu com a plataforma de streaming on-line Twitch, de propriedade da Amazon, em 6 de outubro, quando 125 GB de seus dados foram postados no 4Chan. 

Twitch, por meio de um tweet, reconheceu a violação: “Podemos confirmar que uma violação ocorreu. Nossas equipes estão trabalhando com urgência para entender a extensão disso. Atualizaremos a comunidade assim que informações adicionais estiverem disponíveis. Obrigado por nos aguentar”. Em uma postagem no blog de 6 de outubro, a empresa culpou “um erro em uma alteração na configuração do servidor Twitch que foi posteriormente acessada por um terceiro malicioso”. Assim, Twitch apontou o dedo para a publicação de 125 GB de informações internas confidenciais para um terceiro externo e não para um insider mal-intencionado. 

O que exatamente saiu pela porta e entrou no 4Chan? De acordo com o Video Games Chronicle, que primeiro relatou a violação, os seguintes conjuntos de dados foram expostos: 

  • Todo o código-fonte da Twitch com histórico de commits "voltando aos seus primórdios" 
  • Relatórios de pagamento para criadores de 2019 
  • Clientes Twitch móveis, de desktop e de console 
  • SDKs proprietários e serviços internos da AWS usados pela Twitch 
  • “Todas as outras propriedades que a Twitch possui” incluindo IGDB e CurseForge 
  • Um concorrente não lançado do Steam, de codinome Vapor, da Amazon Game Studios 
  • Ferramentas internas de red-teaming da Twitch 

O serviço forçou uma atualização das chaves de transmissão de todos os usuários em 7 de outubro. Desde então, tem havido silêncio no blog da Twitch. 

A importância do acesso com privilégios mínimos 

A configuração incorreta de um servidor, deixando um caminho direto para as joias da coroa desprotegidas da Twitch, levanta questões em torno dos conceitos básicos de acesso com privilégios mínimos.

O ciberevangelista da Cymulate, David Klein, observa como não é uma boa ideia para os CISOs "ter tudo, incluindo código-fonte, registros contábeis para streamers, senhas criptografadas e projetos não lançados para competir com Valve/Steam acessível. Isso é mau. Privilégios mínimos básicos para administradores, segmentação interna e compreensão de onde seus dados estão e quem tem acesso são de suma importância”. 

Do ponto de vista distante que compartilhamos de fora para dentro, as perguntas que os CISOs devem se fazer incluem: 

  • As joias da coroa que devo proteger estão devidamente protegidas? 
  • A observação de Klein sobre a facilidade de acesso superando a segurança se aplica? 
  • Nossos conjuntos de dados são criptografados, com as chaves fornecidas para aqueles com acesso comprovado e apenas quando esse acesso é necessário? 

“Sua moeda (dados) tem um valor no mercado, então a proteção contra roubo e uso indevido começa no ponto de criação (moeda) e viaja com a moeda”, observa Michael Quinn, CEO da Active Cypher. “As empresas arriscam a marca, os clientes e a confiança quando a moeda é desvalorizada. Um bom exemplo: a criptografia de disco completo não protege você quando seus dados estão "descansando" e estão em movimento novamente. Precisamos entender que os dados (moeda) têm muitos estados em seu ciclo de vida que exigem criptografia (em repouso, em trânsito, no armazenamento, em uso ou sendo criado)”. 

Quinn conclui com conselhos para CISOs: “A arquitetura de criptografia ponta a ponta é um alvo móvel, o terminal são os dados, não um local, dispositivo ou serviço. Você pode ir além da criptografia de sua moeda/dados e eliminar os riscos de permitir que sua moeda viaje mesmo como bits de codificação? O processo existe e, quando aplicado, garante que o ciclo de vida de moeda/dados seja seguro e sob a propriedade, administração e gerenciamento de uma "cadeia de fornecimento de dados segura". 

O serviço de streaming agora se depara com o conhecimento de que quaisquer vulnerabilidades pendentes em seu código-fonte que estavam na proverbial lista de tarefas correm o risco de serem detectadas por qualquer vilão interessado com o objetivo de atacar o serviço de streaming downstream e devem ser mitigadas rapidamente. 

O servidor mal configurado da Twitch fala sobre o risco apresentado pelos dispositivos e máquinas no ecossistema de cada empresa. A amplitude dos dados expostos cruza muitas disciplinas profissionais, engenharia de software, UX, produção, contabilidade e atendimento ao cliente, o que sugere um mínimo de conhecimento da Twitch e seus processos internos, procedimentos e regras de segmentação de dados. 

Como que o “terceiro malicioso” (externo ou interno) que comprometeu a Twitch foi capaz de atravessar o ecossistema do serviço ainda não foi divulgado. É algo que, se for disponibilizado, os CISOs estarão bem servidos para aceitar e assimilar as lições em sua instância. Klein diz o que muitos CISOs podem estar pensando: “Se este não for um insider, então a situação é pior”. 

Vai um cookie?

A CIO usa cookies para personalizar conteúdo e anúncios, para melhorar sua experiência em nosso site. Ao continuar, você aceitará o uso. Para mais detalhes veja nossa Política de Privacidade.

Este anúncio desaparecerá em:

Fechar anúncio

15