Il noto sito Twitch – content provider basato essenzialmente sul (live)streaming di contenuti di vario tipo (dai videogame alle competizioni eSports soprattutto), con una forte platea di giovani e giovanissimi – ha subito uno dei peggiori data breach degli ultimi tempi.
Un breach sia di dati personali che di codice informatico e altri dati non personali, piuttosto ingente e tale da far pensare circa l’effettiva sicurezza di una piattaforma che conta circa 15 milioni di utenti attivi al giorno.
Oltretutto mettendo a nudo dati di pagamento delle sue star – la piattaforma, infatti, retribuisce gli streamer con quanto ricavato dagli stream, dalle sponsorizzazioni e altre attività rese su Twitch stesso – che non potranno lasciare indifferenti le autorità di controllo.
Una vera débâcle sia della sicurezza informativa che della protezione dei dati, configurando in un colpo solo un data breach (per i dati e codici non personali) e un personal data breach (per i dati personali coinvolti), dalle conseguenze tutte da pesare e forse ancora non del tutto evidenti.
Indice degli argomenti
Data leak di Twitch: i fatti finora noti
Come è potuto accadere tutto questo? Qualcuno sul social 4Chan (ovviamente anonimamente, essendo tale piattaforma by default anonima, non richiedendo nemmeno di registrarsi) ha postato un link Torrent a materiale esfiltrato dal dominio di Twitch (circa 128 giga di volume), asserendo si tratti di una sorta di vendetta o punizione verso la comunità di protagonisti del sito stesso.
Evidentemente non proprio di gradimento dell’utente, il quale ha pure aggiunto un hashtag “#DoBetterTwitch” oltre a vari commenti di hate speech.
Come sia riuscito a entrarvi in possesso non si sa attualmente, comunque i contenuti postati sono risultati in due distinte cartelle piene di file: da una parte materiali software e dati non personali (codice sorgente della piattaforma stessa, codici interni AWS e di SDK proprietarie, informazioni sul marketplace Vapor, altro materiale per la sicurezza IT – paradossalmente), dall’altra dati personali: soprattutto pagamenti (payout) effettuati da Twitch ai propri streamer (periodo 2019-2021 circa) e che utilizzano la piattaforma per la loro attività di influencer a vario titolo, venendone remunerati.
I guadagni degli streamer di Twitch così diffusi comprendono anche personaggi italiani: tra i più retribuiti troviamo ad es. ZanoXVII (esperto di FIFA), POW3Rtv (esperto di Fortnite) e tanti altri, alcuni con cifre considerevoli (dal quasi milione e mezzo di ZanoXVII si passa alle centinaia di migliaia di euro degli altri top streamer italiani).
Il fatto stesso che questi dati siano stati da subito riprodotti dalla stampa (italiana e non), in maniera analitica, la dice lunga sull’interesse potenziale del pubblico per tali aspetti e, di converso, della riservatezza che invece ci si aspetta dall’altro lato.
Non ci sono password e numeri di carte di credito nel leak
Per ora i comunicati ufficiali di Twitch sull’episodio affermano che tra i dati esfiltrati non figurerebbero password o numeri di carte di pagamento.
L’attribuzione causale del leak sarebbe quella di un errore di configurazione dei server che avrebbe permesso al malintenzionato di accedere e copiare i dati poi pubblicati.
In ogni caso, da più parti per ogni evenienza si è consigliato agli utenti di Twitch di cambiare le proprie password.
Conseguenze privacy del leak a Twitch
Partiamo dal titolare colpito, Twitch, il quale dimostra di avere qualche falla di compliance già a monte, ben prima del breach in parola. Il sito e la società di riferimento – facente parte del gruppo di Amazon – sono nella titolarità di Twitch Interactive Inc., di diritto statunitense (sede a San Francisco).
Leggendo la relativa informativa privacy è subito evidente – almeno basandoci sul testo pubblicato attualmente – come non sia stato nominato un DPO, in potenziale violazione dell’art. 37 GDPR (i requisiti per l’obbligatorietà della nomina potrebbero essere facilmente compatibili con l’attività di Twitch – ad es. nel caso di un monitoraggio su larga scala degli, non certo peregrino lato marketing sfruttando i cookie e le preferenze degli utenti della piattaforma).
Non possiamo sapere se la presenza di un DPO avrebbe evitato l’episodio in esame, tuttavia sarebbe stata certamente una figura chiave sia nel prevenire che nel rimediare all’attuale scenario.
Una società britannica come rappresentante del titolare in UE
Inoltre si scopre, sempre scorrendo l’informativa, che sarebbe stato nominato un rappresentante del titolare con sede in un Paese dell’Unione (come richiesto dall’art. 27 GDPR per i titolari con sede extra-UE che trattano dati di persone nella UE).
L’adempimento è obbligatorio e presenta solo alcune eccezioni che non paiono applicabili alla complessità dei trattamenti di Twitch. Tuttavia risulta nominata una società britannica (Twitch UK Limited), ormai insufficiente in epoca post-Brexit a decorrere dal febbraio 2020. Il Regno Unito è infatti ritenuto – per ora, tenuto conto delle ventilate riforme legislative – sì un Paese adeguato agli standard europei ai sensi dell’art. 45 GDPR per trasferirvi dati personali, ma non si può considerare equivalente a uno Stato membro per quanto imposto dall’art. 27 circa il rappresentante.
Compensi degli streamer: un aggravio di conseguenze e rischi
Quanto ai dati resi noti, restando concentrati su quelli dei compensi riconosciuti da Twitch agli streamer, è vero che si tratta di dati non particolari (protetti maggiormente rispetto a quelli comuni, vedi l’art. 9 GDPR); tuttavia si parla di dati “finanziari” che, secondo diversi commentatori ed esperti, sono di pregnante delicatezza, pensando agli effetti della loro violazione verso gli interessati.
Tant’è che in caso di data breach la procedura prevista dall’ENISA nella valutazione della violazione avvenuta li considera come una tipologia di dati a sé, che se violati portano a un aggravio di conseguenze e relativi rischi, rispetto ai dati comuni.
Va anche detto che non è immediato capire quali conseguenze concretamente negative (economiche o di altro tipo) possano derivare ai predetti streamer dalla mera pubblicazione dei loro incassi di Twitch (ammesso che restino gli unici loro dati resi pubblici).
Si può pensare a eventuali conseguenze fiscali (se non avevano denunciato al fisco tutte le somme ora emerse – ipotesi comunque dubbia che non pare di reale interesse per il fisco italiano, ove anche ravvisasse un fumus circa l’evasione fiscale) ed economiche (la violazione della riservatezza circa i compensi ricevuti potrebbe portare a una revisione di determinati accordi con terzi che, magari, si basavano su diverse stime circa la redditività degli interessati su Twitch).
Un danno anche di immagine e promozione per gli streamer
Anche a livello di immagine e promozione gli streamer potrebbero lamentare un vulnus, ad es. per le possibili ritorsioni da parte di utenti livorosi o che potrebbero prenderli di mira considerandoli pagati fin troppo bene per il loro lavoro – peraltro gli stessi streamer di Twitch hanno subito negli ultimi tempi campagne di odio online piuttosto accese.
Come possono tutelarsi gli streamer di Twitch
Teoricamente gli interessati colpiti (cioè gli streamer suddetti) potrebbero agire legalmente anzitutto verso Twitch per danni, inoltre potrebbero reclamare presso il Garante la violazione dei propri dati (sebbene si auspica si attivi d’ufficio per un’indagine in merito, a fronte di quanto già emerso dalla stampa).
Il down di Facebook/Whatsapp dovuto a due grandi errori: una lezione per tutti
Le possibili conseguenze reputazionali
Solo un accenno finale a tematiche pertinenti ai dati non personali esfiltrati (come i codici software ecc.).
Anche questo può generare problemi rilevanti: ad es. la diffusione al pubblico di codici sorgenti potrebbe configurare sia la violazione di proprietà intellettuale protetta (anche di terzi, fornitori o comunque partner di Twitch) che porre ulteriori questioni di sicurezza (la diffusione di tali codici potrebbe ora agevolmente permettere ad altri malintenzionati di trovare falle nei software inclusi nel breach, considerato che fanno parte del pacchetto esfiltrato anche tool interni di security).
Tutto quanto narrato avrà prevedibili ulteriori conseguenze extralegali, soprattutto reputazionali, per la piattaforma americana. Nondimeno gli accertamenti sono ancora in corso per comprendere la portata di quanto accaduto: altre informazioni potrebbero essere state copiate dai sistemi della piattaforma ed emergere solo in seguito.
Conclusioni
Concludendo, non sarà un bel periodo per Twitch e per Amazon sua controllante, oltre a gettare l’ennesima ombra sul grado di sicurezza informatica dei top player statunitensi: in una sola settimana la vicenda clamorosa del down di Facebook e ora quella del breach Twitch potrebbero essere solo un’anteprima di peggiori scenari a venire. Speriamo ardentemente di sbagliare.
