Fuite du code source et des rémunérations des créateurs de Twitch
Une mauvaise configuration de serveur a exposé l'intégralité du dépôt Git de Twitch à un attaquant anonyme, qui a diffusé 125 Go de données — le code source complet avec l'historique des commits, les outils internes et trois ans de chiffres de rémunération des créateurs — sous forme de torrent sur 4chan.
- Victime
- Twitch (Amazon)
Le 6 octobre 2021, un utilisateur anonyme a publié un torrent de 125 Go sur le forum 4chan, l'intitulant « part one » d'une fuite provenant de Twitch, la plateforme de diffusion en direct détenue par Amazon. L'archive contenait l'intégralité du code source de Twitch, ses outils de développement internes et — élément le plus dommageable pour les relations de l'entreprise avec ses plus grandes vedettes — trois ans de chiffres de rémunération des créateurs. L'auteur de la fuite a déclaré que son but était de « favoriser davantage de perturbation et de concurrence dans l'espace du streaming vidéo en ligne », et a accompagné sa publication d'une insulte décrivant la communauté Twitch comme un « cloaque toxique répugnant ».
Ce qui s'est passé
La fuite n'a impliqué ni maliciel, ni rançongiciel, ni exploitation d'une vulnérabilité logicielle. Twitch l'a attribuée à une modification de configuration serveur « à laquelle un tiers malveillant a ensuite accédé ». Concrètement, un changement dans les paramètres d'un serveur a exposé par inadvertance un dépôt Git interne à l'Internet public, et l'attaquant l'a simplement cloné.
Comme l'attaquant avait récupéré le dépôt Git dans son intégralité, la fuite incluait l'historique complet des commits de la base de code de Twitch « remontant à ses tout débuts ».
Ce qui a fuité
L'archive de 125 Go comprenait :
- Le code source complet du site web, des clients mobile, ordinateur et console de Twitch, avec l'historique complet des commits.
- Des SDK propriétaires et des services AWS internes sur lesquels Twitch s'appuyait.
- Le code source des propriétés détenues par Twitch, IGDB et CurseForge.
- Des rapports de rémunération des créateurs couvrant 2019, 2020 et les trois premiers trimestres de 2021 — révélant exactement combien Twitch payait chacun de ses meilleurs streamers. Les données ont révélé que plus de 13 comptes avaient gagné plus de 108 000 dollars par an depuis 2019, les mieux rémunérés engrangeant des millions.
- « Vapor », un projet inédit d'Amazon Game Studios décrit comme un concurrent de Steam.
- Les outils internes de red team et de sécurité de Twitch — les outils mêmes que son équipe de sécurité utilisait pour tester ses propres défenses.
Ce qui n'a pas fuité
L'enquête de Twitch a déterminé que la fuite n'a pas exposé les identifiants de connexion ni les numéros de carte de crédit complets. Les mots de passe des utilisateurs sont hachés (bcrypt), et les systèmes stockant ces données ne faisaient pas partie de ceux compromis. Par précaution, Twitch a réinitialisé toutes les clés de stream et exhorté les utilisateurs à activer l'authentification à deux facteurs.
Impact
Les chiffres financiers ont été l'élément le plus viral de la fuite, recalibrant la perception publique du fonctionnement de l'économie de Twitch et dégradant les relations entre la plateforme et les créateurs qui ont découvert comment leurs revenus se comparaient à ceux de leurs pairs. L'exposition du code source complet et des outils de sécurité internes constituait un risque grave à long terme : les adversaires ont obtenu une cartographie de l'architecture de Twitch et de son arsenal défensif.
L'attaquant a promis d'autres « parties » qui ne se sont jamais matérialisées à la même échelle, ce qui laisse penser que la fuite était opportuniste plutôt que partie d'une campagne soutenue.
Pourquoi c'est important
La fuite Twitch est un cas d'école d'une simple mauvaise configuration dégénérant en une exposition totale du code source. Il n'y a eu aucune chaîne d'intrusion sophistiquée — seulement un serveur dont les contrôles d'accès ont été modifiés de façon incorrecte. Elle souligne que pour les organisations dotées d'une infrastructure Git monolithique, une erreur de configuration peut être aussi catastrophique qu'une faille zero-day, et qu'il est essentiel de cloisonner code source, données de rémunération et outils internes dans des périmètres de confiance distincts. Divulguer les propres outils de red team d'une entreprise aux côtés de son code source est une combinaison du pire scénario : elle remet aux attaquants à la fois la carte et la méthodologie.
Chronologie
Un utilisateur anonyme publie sur 4chan un torrent de 125 Go intitulé « part one », contenant le code source de Twitch, ses outils internes et les données de rémunération des créateurs.
Des streamers commencent à confirmer que les chiffres de rémunération divulgués pour leurs propres comptes sont exacts ; Twitch reconnaît qu'une intrusion a eu lieu.
Twitch confirme publiquement la fuite, déclarant que ses équipes « travaillent avec urgence » pour enquêter.
Twitch attribue la fuite à une modification de configuration serveur ayant exposé par erreur des données à un tiers non autorisé, et réinitialise toutes les clés de stream.
Twitch confirme que les identifiants de connexion et les numéros de carte de crédit complets n'ont pas été exposés ; les mots de passe de la plateforme sont hachés et ne faisaient pas partie des systèmes compromis.
Sources
- techcrunch.comhttps://techcrunch.com/2021/10/06/hacker-leaks-twitch-source-code-and-creator-payout-data/
- engadget.comhttps://www.engadget.com/twitch-data-breach-reveals-creator-payouts-source-code-and-more-112012011.html
- theverge.comhttps://www.theverge.com/2021/10/6/22712365/twitch-hack-leak-data-streamer-revenue-steam-competitor
- portswigger.nethttps://portswigger.net/daily-swig/twitch-breach-leads-to-leak-of-source-code-and-streamer-earnings-data
- bbc.comhttps://www.bbc.com/news/technology-58817658