В результате кибератаки в 2014 году Twitch пришлось заново полностью перестраивать инфраструктуру.
Одним из самых громких событий в мире ИБ в этом месяце стала утечка данных Twitch. Злоумышленники опубликовали в Сети файл размером 125 ГБ с внутренними инструментами, исходным кодом и SDK сервиса. Однако этот инцидент является отнюдь не первым и даже не самым крупным в истории Twitch.
Как сообщает Motherboard, в 2014 году, всего через несколько месяцев после покупки Twitch компанией Amazon почти за $1 млрд, сервис подвергся крупнейшей кибератаке. Однако до недавнего времени информация о ней не разглашалась широкой общественности.
Атаку выявил инженер Twitch (пожелавший сохранить анонимность) в процессе оказания техподдержки сотруднику, работающему дистанционно. Он обнаружил журналы, показывающие, что хакеры получили доступ к учетной записи этого сотрудника. По словам инженера, злоумышленники не были профессионалами и оставили явные следы своего вторжения.
Открытие инженера повлекло за собой масштабное расследование, в котором приняли участие практически все сотрудники Twitch. По словам одного из семи источников Motherboard (все источники являются анонимными, поскольку не имеют права разглашать информацию о своей работе в компании в то время), в течение двух месяцев они работали по 20 часов в сутки. Еще один экс-сотрудник сообщил, что они работали три недели подряд без выходных, а те, кто жил далеко от работы, были вынуждены ночевать в отеле.
В то время в штате Twitch почти совсем не было специалистов в области безопасности, поэтому к устранению последствий кибератаки были привлечены все инженеры и разработчики. Они собирались в конференц-залах и при плотно задернутых шторах пытались понять, как был осуществлен взлом и что делать дальше.
Атака была настолько серьезной, что компания приняла решение признать скомпрометированными практически все серверы. Проще было постепенно мигрировать на новые серверы, чем разбираться со старыми. В итоге Twitch пришлось перестраивать большую часть инфраструктуры кода.
"До того, как они были обнаружены, хакеры имели столь обширный доступ, что нам пришлось буквально строить все заново с нуля", - сообщил один из источников.
Пользователям ничего не сообщалось о случившемся в течение полугода. Только 23 марта 2015 года компания опубликовала короткое уведомление о том, что "к некоторым учетным записям Twitch мог быть получен несанкционированный доступ". О масштабах причиненного ущерба не сообщалось.
Сотрудники Twitch дали инциденту кодовое название Urgent Pizza, и он стал чем-то вроде внутреннего анекдота - руководство даже напечатало тематические футболки. Выбор пал на это название, поскольку работавшие чуть ли не круглосуточно инженеры заказывали горы пиццы.
Как сообщил один из источников, компания решила впредь давать киберинцидентам "съедобные" названия и даже создала специальный генератор названий. Утекший в 2021 году код подтверждает это. Так, в некоторых утекших файлах содержатся строки "remove pizza script," "a pizza thing," "indicate that the server is ‘urgent-pizza clean’" и "move pizza to securelogin".
Одно найти легче, чем другое. Спойлер: это не темная материя