אתמול פרסם משתמש אנונימי פוסט ברשת 4chan שם טוען כי הוא פרץ לאתר הסטרימינג הפופולארי טוויץ' שנמצא בבעלות של חברת אמזון, וצירף לינק לקובץ טורנט להורדה השוקל 125 ג'יגה, ומכיל את כל קוד המקור של האתר, כולל דו"חות תשלום של יוצרים בפלטפורמה ומידע על לקוחות החברה.
בקובץ שרץ ברשת ניתן למצוא קבצים השייכים לערכות מפתחים ולשירותי אמזון השונים, כולל נכסים נוספים שהפלפורמה מחזיקה בבעלותה, כמו מאגר האנטרנט למשחקים IGDB, ופלטפורמת Curseforge המיועדת למודים. בין כל הקבצים ניתן היה למצוא גם טבלאות המציינות את הסכומים שהסטרימרים הפופולאריים מרוויחים, בזמן שסטרימרים פופולאריים כמו Shroud, Nickmercs ו-DrLupo מגיעים לסכומים של מילוני דולרים בחודש.
מומחי סייבר ואבטחה ישראליים הגיבו היום לתקרית, הראשון הוא ליאור לוי, מנכ"ל חברת Cycode, שפיתחה טכנולוגיה המתממשקת לכלים המשמשים בתהליך הפיתוח, הניהול וההפצה של התוכנה ומספקת לארגונים הגנה מפני הסיכונים השונים: "קוד המקור הוא הקניין הרוחני החשוב ביותר של חברות הטכנולוגיה כיום".
"אירוע דליפת הקוד של twitch מראה לנו את החשיבות שלו ומסביר גם את המאמצים של ענקיות הטכנולוגיה להתחמש באמצעי אבטחת הקוד, שהולכים ומשתדרגים. הארגונים מודעים לסכנות - ברגע שהאקרים מגיעים לתשתיות ניהול ובניית הקוד, נחשף בפניהם מידע בכמויות עצומות ונפתחת גם האפשרות שיעתיקו את הרעיון או ישכפלו את האלגוריתם. צריך להגן עליו ככל שניתן".
אורי שמאי, מייסד שותף וסמנכ"ל טכנולוגיה בחברת הסייבר ספקטרל (spectral), שמתמקדת באיתור טעויות אבטחה בסביבת הפיתוח ומניעתן. לספקטרל פתרון סייבר המנטר ומגן מפני טעויות אבטחה בקבצי קוד ונכסים נוספים של הארגון: "לצערנו אנחנו נתקלים שוב ושוב בדליפות מידע שקורות כתוצאה מהגדרות תצורה שגויות של תשתיות תוכנה וענן, או כתוצאה מזליגה של קוד המקור הנגרמות מטעויות אנוש, מה שמדגיש את החשיבות של ההגנה על הקוד כבר מתהליך כתיבתו."
"האירוע של Twitch, שאנחנו עדיין לא יודעים כיצד הוא קרה, מכיל בתוכו מידע רגיש. כפי שלמדנו מפריצות עבר, כאשר זליגה של מידע רגיש מכילה קוד מקור, הוא מכיל מפתחות הצפנה פרטיים, מפתחות גישה שונים לשירותי תוכנה אחרים כגון בסיסי נתונים, שעלולים להרחיב את הנזק בצורה עקיפה".
"במקרה הנ"ל, ייתכן שלא רק Twitch עצמה והמידע הקיים בקוד שלה ייפגע, אלא גם לקוחות אחרים להם היא מספקת שירות או כאלו שמשתמשים במפתחות שהחברה מספקת ללקוחות. בנוסף, מכיוון שהאקרים יכולים לקרוא את קוד המקור הפרטי, זה מאפשר להאקרים להבין איך לבצע "תקיפה לשרשרת האספקה", בדומה למה שקרה ב-SolarWind. ".
גיא פלכטר, מנכ"ל ומייסד הסטארטאפ Cider המפתח מוצר שמשפר את רמת אבטחת המידע של מערכות ותהליכי פיתוח התוכנה: "לצערי האירוע עם twitch (שעדיין לא כל הפרטים עליו התגלו) בו גורמים תוקפים את אזור הפיתוח של חברות הוא לא האירוע הראשון בצורה הזאת וגם לא האחרון (מקרה עבר מאוד מפורסם שהיה הוא Solarwinds ). אירועים מהסוג הזה ממשיכים להוכיח לנו פעם נוספת שתוקפים מזהים יותר ויותר את האזור הזה כנקודת הכניסה לארגונים וגם ההבנה שהארגונים מחזיקים שם מידע יקר ערך שהפרסום שלו יכול להוביל לנזק לחברה וללקוחות שלה".
בנוסף לכך, תקיפת קוד הבסיס יכולה לסייע לאותם תוקפים בהמשך התקיפה על החברה (לדוגמא הרבה חברות מחזיקות במפתחות לאזורים אחרים בסביבות production של החברה והתוקפים יכולים להשתמש בהם) באזור הזה ומצד שני זה מדגיש את הפערים שיש לנו בתור מגנים - כמה חשוב לנו להבין יותר טוב את האזור, כדי לדעת לתת מענה אפקטיבי מבלי לפגוע בעבודת הפיתוח. במקרה הזה על פי הערכות מהמידע שקיים בעיית קונפיגורציה במערכת שמחזיקה להם את הקוד (לדוגמא github או gitlab ) איפשרה לתוקפים להשיג גישה לאותו אזור ובכך לגשת למידע רגיש שקיים שם ואולי אפילו להגיע לאזורים אחרים בזכות אותו מידע כדי להשיג עוד מידע (כמו התשלום שלהם למשתמשים שונים)".
ההאקר ציין כי מטרתו הייתה "לטפח תחרות בשוק הסטרימינג ברחבי העולם, מכיוון והקהילה של הפלטפורמה נחשבת לבור שופכין רעיל ודוחה", וציין כי מדובר רק בחלק מכל התוכן שנמצא בידיו. בטוויץ' מודעים לפריצה והם מאמינים כי היא התרחשה במהלך יום שני האחרון - אותו היום שבו רשתות פייסבוק, וואטסאפ ואינסטגרם קרסו, אך לא קיים קשר בין השניים ומדובר בצירוף מקרים.