Invasores basicamente invadiram a casa da Twitch e limparam tudo. Acesso de privilégios mínimos e dados criptografados ajudariam a evitar esse cenário
Nenhuma empresa quer ver suas joias da coroa expostas aos elementos, mas foi isso que aconteceu com a plataforma de streaming on-line Twitch, de propriedade da Amazon, em 6 de outubro, quando 125 GB de seus dados foram postados no 4Chan.
Twitch, por meio de um tweet, reconheceu a violação: “Podemos confirmar que uma violação ocorreu. Nossas equipes estão trabalhando com urgência para entender a extensão disso. Atualizaremos a comunidade assim que informações adicionais estiverem disponíveis. Obrigado por nos aguentar”. Em uma postagem no blog de 6 de outubro, a empresa culpou “um erro em uma alteração na configuração do servidor Twitch que foi posteriormente acessada por um terceiro malicioso”. Assim, Twitch apontou o dedo para a publicação de 125 GB de informações internas confidenciais para um terceiro externo e não para um insider mal-intencionado.
O que exatamente saiu pela porta e entrou no 4Chan? De acordo com o Video Games Chronicle, que primeiro relatou a violação, os seguintes conjuntos de dados foram expostos:
O serviço forçou uma atualização das chaves de transmissão de todos os usuários em 7 de outubro. Desde então, tem havido silêncio no blog da Twitch.
A configuração incorreta de um servidor, deixando um caminho direto para as joias da coroa desprotegidas da Twitch, levanta questões em torno dos conceitos básicos de acesso com privilégios mínimos.
O ciberevangelista da Cymulate, David Klein, observa como não é uma boa ideia para os CISOs “ter tudo, incluindo código-fonte, registros contábeis para streamers, senhas criptografadas e projetos não lançados para competir com Valve/Steam acessível. Isso é mau. Privilégios mínimos básicos para administradores, segmentação interna e compreensão de onde seus dados estão e quem tem acesso são de suma importância”.
Do ponto de vista distante que compartilhamos de fora para dentro, as perguntas que os CISOs devem se fazer incluem:
“Sua moeda (dados) tem um valor no mercado, então a proteção contra roubo e uso indevido começa no ponto de criação (moeda) e viaja com a moeda”, observa Michael Quinn, CEO da Active Cypher. “As empresas arriscam a marca, os clientes e a confiança quando a moeda é desvalorizada. Um bom exemplo: a criptografia de disco completo não protege você quando seus dados estão “descansando” e estão em movimento novamente. Precisamos entender que os dados (moeda) têm muitos estados em seu ciclo de vida que exigem criptografia (em repouso, em trânsito, no armazenamento, em uso ou sendo criado)”.
Quinn conclui com conselhos para CISOs: “A arquitetura de criptografia ponta a ponta é um alvo móvel, o terminal são os dados, não um local, dispositivo ou serviço. Você pode ir além da criptografia de sua moeda/dados e eliminar os riscos de permitir que sua moeda viaje mesmo como bits de codificação? O processo existe e, quando aplicado, garante que o ciclo de vida de moeda/dados seja seguro e sob a propriedade, administração e gerenciamento de uma “cadeia de fornecimento de dados segura”.
O serviço de streaming agora se depara com o conhecimento de que quaisquer vulnerabilidades pendentes em seu código-fonte que estavam na proverbial lista de tarefas correm o risco de serem detectadas por qualquer vilão interessado com o objetivo de atacar o serviço de streaming downstream e devem ser mitigadas rapidamente.
O servidor mal configurado da Twitch fala sobre o risco apresentado pelos dispositivos e máquinas no ecossistema de cada empresa. A amplitude dos dados expostos cruza muitas disciplinas profissionais, engenharia de software, UX, produção, contabilidade e atendimento ao cliente, o que sugere um mínimo de conhecimento da Twitch e seus processos internos, procedimentos e regras de segmentação de dados.
Como que o “terceiro malicioso” (externo ou interno) que comprometeu a Twitch foi capaz de atravessar o ecossistema do serviço ainda não foi divulgado. É algo que, se for disponibilizado, os CISOs estarão bem servidos para aceitar e assimilar as lições em sua instância. Klein diz o que muitos CISOs podem estar pensando: “Se este não for um insider, então a situação é pior”.
