Un usuario anónimo ha publicado este miércoles un enlace a un archivo de más de 125GB, que contendría “todo Twitch”, la plataforma de streaming de Amazon. La empresa, a última hora de la tarde del mismo día, confirmó "una brecha de seguridad" pero no dio más detalles de su origen. El archivo en cuestión es descargable y accesible y contiene información sobre pagos a usuarios, proyectos no lanzados por la plataforma y herramientas internas de gestión aparentemente robados a la plataforma.
En el mensaje en el que se oferta el archivo, publicado en el foro 4chan, se habla de “Twitch en su totalidad” porque contiene todo el código fuente de la web y de sus aplicaciones, es decir, cómo está construido el servicio. Además, también se habría filtrado el código de dos productos todavía no lanzados: una plataforma de videojuegos como Steam, la líder del sector, y un videojuego, llamado Vapor, de producción propia.
Dentro de este paquete también hay datos de las empresas propiedad de Twitch, como IGDB, una gran base de datos de títulos de videojuegos al estilo de la IMDB, la de series y películas también propiedad de Amazon.
En los documentos descargados igualmente se revelarían los pagos que habría hecho Twitch a los creadores de contenido desde agosto de 2019, así como las herramientas internas de Twitch para reforzar su propia seguridad y datos sobre las compañías que son propiedad de la plataforma, según confirma a Maldita.es. Todos estos documentos son descargables para cualquier usuario, pero se desconoce aún el alcance que ha podido llegar a tener.
Twitch ha confirmado a través de su cuenta de Twitter que se ha producido "una brecha de seguridad" y que sus equipos "están trabajando con urgencia para entender el alcance de la situación".
En una actualización en su blog, la compañía avisa a los usuarios de que "no tienen indicios de que se hayan expuesto las credenciales de inicio de sesión", aunque continúan investigando. También afirman que no se han filtrado los números de las tarjetas de crédito "puesto que no se guardan en Twitch".
"Hemos comprobado que ciertos datos han sido expuestos a Internet debido a un cambio de configuración en el servidor de Twitch, que fue aprovechado por terceros con fines maliciosos", añade la empresa.
En otro tuit, Twitch ha indicado que han reseteado por seguridad las claves de transmisión. Si sueles retransmitir en Twitch, no tienes que hacer nada si utilizas Twitch Studio, Streamlabs, Xbox, PlayStation o la app de Twitch. Si usas OBS, solo si no tienes conectada tu cuenta de Twitch al programa. Para el resto de servicios de retransmisión, se tiene que configurar de nuevo con la clave de transmisión actualizada.
La empresa no ha dado más detalles ni ha constatado que los datos sean auténticos. Sin embargo, analistas de seguridad informática aseguran haber accedido a los pagos que reciben famosos 'streamers' españoles como Ibai Llanos o AuronPlay.
A falta de medir el alcance de la filtración, se recomienda a los usuarios cambiar las contraseñas
Este tipo de filtración es algo diferente a las fugas de datos a las que solemos estar acostumbrados, donde se revelan los correos electrónicos, números de teléfono y contraseñas de los usuarios de un servicio determinado. En este caso, la información obtenida es sobre el conjunto de la plataforma, sobre cómo funciona y qué productos pensaban lanzar. Según la empresa y como ya te hemos comentado antes, no se habrían filtrado los datos de inicio de sesión.
No obstante, y como medida preventiva, como te contamos sobre qué hacer en caso de una filtración, la recomendación más lógica es cambiar la contraseña asociada a nuestra cuenta y activar la verificación en dos pasos: esto permite que incluso si tu contraseña llega a desvelarse, aún habrá un obstáculo para acceder al perfil. En este caso, un SMS que se manda al móvil.