Un énorme dossier contenant des données confidentielles sur Twitch a été publié sur le forum américain 4chan. Un internaute a partagé un fichier de 128 Go contenant des informations qui auraient dû rester confidentielles. L'auteur justifie son acte par une volonté « d'encourager plus de perturbation et de concurrence dans le domaine du streaming vidéo», le fuiteur décrivant la communauté de Twitch comme un « cloaque toxique dégoûtant ». Le message se termine par le hashtag #DoBetterTwitch, et les données révélées vont du code source de l'application aux revenus de certains streamers.
Non sans ironie, le fuiteur explique que si Jeff Bezos a payé 970 millions de dollars pour le site, il est désormais accessible à tous. Dans l'énorme fichier, on retrouve pêle-mêle :
- L'intégralité du code source de Twitch avec son historique.
- Les données des applications pour différentes plateformes (téléphones, consoles de jeux, etc.).
- Des informations sur un concurrent de Steam jamais commercialisé baptisé « Vapor » en interne.
- D'autres propriétés de Twitch comme IGDB et CurseForge.
- Des outils internes des équipes de sécurités de Twitch.
- Divers SDK propriétaires et des services AWS utilisés par la plateforme.
Le fichier contient également l'intégralité des revenus des streamers depuis août 2019, qui ont rapidement fait le tour des réseaux sociaux. Ils ont depuis été hébergés sur différents sites miroirs. Plusieurs vidéastes ont expliqué que les chiffres du dossier correspondaient bien à ce qu'ils avaient touché, en nuançant cependant : ils ne sont pas représentatifs car ils n'incluent pas les impôts, les partenariats, les diverses commissions, etc.
Dans un premier temps, puisque qu'aucun "gros" créateur ne vous le confirmera en France (je pense), OUI les chiffres du tableau ci dessus sont vrais. Mais attention, c'est un chiffre d'affaire et non un bénéfice. Ce qui veut dire que cet argent n'est pas sur le compte en banq...
— ZeratoR (@ZeratoR) October 6, 2021
Si ce dossier n'inclut pas les mots de passe des utilisateurs, il est fort probable que ceux-ci soient aussi dans la nature. Il est recommandé d'aller le changer au plus vite et d'activer l'authentification à deux facteurs. Dans son message, le fuiteur explique que ceci n'est qu'une « première partie », l'affaire n'est donc visiblement pas terminée. Twitch a confirmé la brèche :
We can confirm a breach has taken place. Our teams are working with urgency to understand the extent of this. We will update the community as soon as additional information is available. Thank you for bearing with us.
— Twitch (@Twitch) October 6, 2021
