‘Urgent Pizza:’ la historia no contada del mayor hack en la historia de Twitch

Captura de pantalla 2021-02-24 a las 3

Hackear. Desinformación. Vigilancia. CYBER es el podcast de Motherboard e informa sobre la parte más oscura de Internet.

Al final del día, un viernes de octubre de 2014, solo unos meses después de que Amazon pagara casi mil millones de dólares por el sitio web de transmisión de videojuegos Twitch, un ingeniero se topó con lo que en ese momento era el primer truco de la plataforma mientras brindaba soporte técnico para un colega que trabajaba de forma remota.

“Oh, mierda”, recuerda haber dicho el ex ingeniero de Twitch. “Pero recuerdo haber pensado que había tanto ‘te lo dije’ aquí”.

El ingeniero, que pidió permanecer en el anonimato para hablar sobre los detalles confidenciales del incidente, dijo que encontró registros que mostraban que los piratas informáticos habían obtenido acceso a la cuenta de su colega. Los piratas informáticos habían dejado rastros claros de su intrusión, dijo.

“Este ataque definitivamente tenía la característica de un adversario mínimamente habilidoso”, le dijo a Motherboard.

La historia completa del hackeo de 2014 contra Twitch nunca se había informado antes, y se basa en entrevistas con siete ex empleados de Twitch que trabajaban allí cuando ocurrió la infracción, y cuando la compañía luego investigó el hack y se ocupó de sus consecuencias. Motherboard otorgó a las fuentes el anonimato porque están sujetos a acuerdos de confidencialidad que les prohíben discutir detalles de su trabajo en ese momento.

El descubrimiento de los registros sospechosos dio inicio a una intensa investigación que atrajo a casi todos los empleados de Twitch a cubierta. Un ex empleado dijo que trabajó 20 horas al día durante dos meses, otro dijo que trabajó “tres semanas seguidas”. Otros empleados dijeron que trabajaron muchas horas durante semanas; algunos que vivían lejos de la oficina dormían en habitaciones de hotel reservadas por la empresa. En ese momento, Twitch tenía pocos ingenieros de ciberseguridad dedicados, si es que había alguno, por lo que los desarrolladores e ingenieros de otros equipos se involucraron en el esfuerzo, trabajando juntos en salas de reuniones con ventanas de vidrio cubiertas, tratando frenéticamente de averiguar qué tan malo era el hackeo. según cinco ex empleados de Twitch que estaban en la empresa en ese momento.

El truco fue tan malo que Twitch esencialmente tuvo que reconstruir gran parte de su infraestructura de código porque la compañía finalmente decidió asumir que la mayoría de sus servidores estaban comprometidos. Pensaron que sería más fácil etiquetarlos como “sucios” y migrarlos lentamente a nuevos servidores, según tres ex empleados que vieron y trabajaron con estos servidores.

“Los piratas informáticos tenían un acceso tan amplio antes de ser detectados, básicamente tuvimos que reconstruir todo desde cero”

Los restos de ese hackeo todavía existen hoy en día, y se pueden encontrar en el código fuente de Twitch robado y arrojado a Internet por piratas informáticos la semana pasada en otra importante violación de datos que expuso los ingresos de los streamers en la plataforma, así como el código fuente interno. Twitch ha cambiado significativamente desde 2014, pero los ex empleados dicen que el ataque anterior tuvo efectos colaterales que todavía se pueden ver hoy.

Fuera de la empresa, Twitch no reveló detalles de la infracción ni su alcance.

Los usuarios de Twitch solo se enterarían de la infracción seis meses después de su descubrimiento, el 23 de marzo de 2015, cuando la compañía publicó una breve publicación de blog que explicaba que “puede haber habido acceso no autorizado a cierta información de la cuenta de usuario de Twitch”, pero no permitió sobre cuán dañino fue el hackeo para Twitch internamente.

Dentro de la empresa, el incidente de 2014 se denominaría más tarde “Pizza Urgente” y se convirtió en una especie de broma corriente; Los líderes de Twitch finalmente imprimieron camisetas con este nombre. (La compañía también decidió que todos los incidentes futuros tendrían nombres en clave con temas de alimentos y escribió un generador de nombres en clave aleatorio para ese propósito, según una fuente y el código filtrado en el incidente de 2021).

“El evento se llamó ‘pizza urgente’ porque la gerencia hizo que todos hicieran cantidades ridículas de horas extra y pidieron pizzas como incentivo”, dijo un ex empleado de Twitch a Motherboard. “Las personas que participaron recibieron camisetas y ‘bromearon’ sobre el trastorno de estrés postraumático debido a las largas horas de trabajo y la falta de comprensión del alcance del ataque que requirió la reconstrucción de toda la empresa”.

Los rastros del hackeo de 2014 y la respuesta de la compañía quedaron expuestos en algunos de los datos filtrados en el incidente reciente, como artefactos del pasado, grabados en el código fuente. Algunos archivos filtrados la semana pasada contienen cadenas como “eliminar script de pizza”, “una cosa de pizza”, “indican que el servidor es ‘limpieza urgente de pizza'”, “mover pizza a inicio de sesión seguro” y “dirty_status = True”.

El truco fue una sorpresa, a pesar de que la empresa no había invertido en mantenerse segura, según otro ex empleado.

“Los esfuerzos de seguridad seguían siendo cancelados o despriorizados con el argumento de que ‘todo el mundo ama a Twitch; nadie quiere hackearnos'”, agregaron.

¿Trabajas en Twitch? ¿Tiene más información sobre la reciente filtración y filtración? Nos encantaría saber de ti. Con un teléfono o computadora que no sea del trabajo, puede comunicarse con Lorenzo Franceschi-Bicchierai de manera segura en Signal al +1917257 1382, chat OTR en lorenzofb@jabber.ccc.de, o enviar un correo electrónico a lorenzo@motherboard.tv.

Cuando Twitch finalmente reveló el hack en marzo de 2015, los ingenieros de seguridad de Twitch y Amazon, que habían acudido para ayudar con la respuesta al incidente, concluyeron que el hack había comenzado al menos ocho meses antes del descubrimiento en octubre de 2014, aunque no tenían idea de si los piratas informáticos habían irrumpido incluso antes, según el ex empleado.

“Eso fue suficiente para que aprendieran por completo cómo funcionaba todo nuestro sistema y los ataques que lanzaron demostraron ese conocimiento”, dijo el ex empleado.

“Los piratas informáticos tenían un acceso tan amplio antes de ser detectados, básicamente tuvimos que reconstruir todo desde cero”, agregó el ex empleado. “Parte de la respuesta implicó reescribir el proceso de inicio de sesión porque los piratas informáticos habían descubierto cómo enviar una copia de la contraseña de cada usuario a sus servidores. También obtuvieron acceso a todo nuestro código fuente y todas nuestras bases de datos”.

Otros dos ex empleados confirmaron el alcance de la violación de datos.

Pero muchos empleados de Twitch nunca se dieron cuenta de la profundidad con la que los piratas informáticos se habían metido en la red de la empresa, y no tienen claro si la empresa comprendió por completo la escala completa del ataque.

Durante meses después del descubrimiento y el anuncio público, varios servidores y servicios fueron etiquetados internamente como “sucios”, como una forma de decirles a todos los desarrolladores e ingenieros que tengan cuidado al interactuar con ellos y para asegurarse de que se limpiarán eventualmente. Esto significaba que todavía estaban activos y en uso, pero los ingenieros les habían impuesto restricciones en caso de que aún estuvieran comprometidos, según tres ex empleados.

“El plan aparentemente era solo reconstruir toda la infraestructura[structure] a partir de un código bueno conocido y desaprobar el antiguo entorno “sucio”. Todavía, años después, teníamos una división entre servicios ‘sucios’ (servidores u otras cosas que se estaban ejecutando cuando se produjo el hackeo) y servicios ‘limpios’, que se activaron después “, dijo uno de los ex empleados. celebramos en toda la oficina el día en que eliminamos el último servicio sucio “.

“Twitch no sabía qué [the hackers] tuvieron acceso o durante cuánto tiempo tuvieron acceso “, dijo uno de los ex empleados, que se unió un par de años después del ataque, a Motherboard.” Así es como terminamos con los hosts sucios: eran hosts que probablemente estaban bien , pero definitivamente no podían decir de una forma u otra “.

“Uno pensaría que sería un momento de aprendizaje, pero era algo que la gente más nueva (no relacionada con la seguridad) en gran parte no conocía, y los empleados mayores se reían”, dijo.

Las fuentes que hablaron con Motherboard compartieron detalles del truco de 2014 para ilustrar el enfoque de seguridad de Twitch en ese momento y cómo ha evolucionado desde entonces. El daño que sufrió Twitch en el ataque hace años, en comparación con el daño del nuevo incidente, podría mostrar si la compañía ha aprendido las lecciones de 2014 y ha implementado mejores protecciones.

“Esta [2014] El incidente fue un ataque en el peor de los casos que se pudo prevenir por completo. Pero el deseo de los líderes de evitar considerar el problema de seguridad fue la causa raíz “, dijo uno de los ex empleados.” Y este incidente más reciente demuestra que no aprendieron nada del incidente de 2014 “.

Twitch no respondió a una serie de preguntas sobre el hackeo de 2014 y el incidente más reciente.

La semana pasada, un cartel anónimo en el foro en línea 4Chan publicó lo que llamaron “parte uno” de una serie de filtraciones de Twitch.

“Su comunidad también es un pozo negro tóxico repugnante, por lo que para fomentar más interrupciones y competencia en el espacio de transmisión de video en línea, los hemos rechazado por completo y, en la primera parte, estamos lanzando el código fuente de casi 6,000 repositorios internos de Git”, el anónimo El usuario de 4Chan escribió en la publicación que desde entonces ha sido eliminada.

La filtración consistió en cientos de gigabytes de código fuente interno de Twitch y datos financieros de streamers. Esta filtración es ciertamente vergonzosa para Twitch y también extremadamente dañina para los streamers.

“Definitivamente es preocupante, por decir lo menos”, dijo el conocido streamer Amouranth a Motherboard. “Como transmisor, Twitch se desempeña activamente como su empleador y desea creer que puede confiar en ellos para que cuenten con medidas de seguridad para evitar que sucedan este tipo de cosas.

Twitch aún no ha revelado los detalles de la violación de datos, ya que aún está investigando. En una publicación de blog, la compañía dijo que “algunos datos fueron expuestos a Internet debido a un error en un cambio de configuración del servidor de Twitch al que posteriormente un tercero malintencionado accedió”.

“En los primeros días de Twitch, el equipo de seguridad tenía presencia, pero parecía estar al límite”

Cuando los ex empleados de Twitch que hablaron con Motherboard se enteraron de la filtración, algunos se sorprendieron y otros no.

“Cuando escuché esto, realmente me pregunté cómo podían ser tan descuidados, especialmente con Amazon como padre”, dijo uno de ellos.

Otros ex empleados, sin embargo, dijeron que el daño de esta nueva violación de datos parece ser menos severo que el hack de 2014. Y es probable que sea gracias a que Twitch se tomó la seguridad más en serio desde entonces.

“En los primeros días de Twitch, el equipo de seguridad tenía presencia, pero parecía estar al límite. Twitch tenía la mala costumbre de agregar toneladas de nuevos empleados para crear nuevos productos sin hacer crecer los equipos que los rodeaban, como la seguridad”. dijo una fuente. “Creo que sabían que tenían que empezar a tomarlo en serio bajo la mirada de Amazon. Definitivamente mejoró con el tiempo. Controles de acceso más estrictos, más escrutinio de seguridad sobre las herramientas internas utilizadas, cosas así”.

Otro se hizo eco de este sentimiento.

“Sin embargo, las cosas estaban mucho mejor cuando me fui, creo que aunque este es un truco mucho más grande en términos de impacto en el aspecto técnico del negocio, la postura de seguridad de la empresa probablemente haya madurado lo suficiente como para hacer que la remediación sea mucho más proceso suave “, dijeron. “Todavía es bastante vergonzoso, pero las teorías que he visto hasta ahora sobre cuál era el medio de acceso hacen que el radio de explosión sea mucho más pequeño. Porque a pesar de que significa algunas auditorías serias de la seguridad de casi todo el código de Twitch, no debería “No es necesario que sea una situación de la empresa en la que se realizan horas extraordinarias durante meses”.

Pero al final, Twitch ahora está investigando otra violación de datos, seis años después del peor ataque de su historia.

“El equipo de seguridad realmente hizo todo lo que pudo”, dijo un ex empleado. “Así que es frustrante verlo llegar a esto”.

Matthew Gault contribuyó con el reportaje.

Suscríbase a nuestro nuevo podcast de ciberseguridad, CYBER. Suscríbete a nuestro nuevo canal de Twitch.

FUENTE DEL ARTICULO

Deja un comentario