Tra i dati pubblicati abbiamo il codice sorgente della piattaforma ( con tutte le cronologie ), oltre che i compensi di alcuni creator e altri dati e informazioni che dovevano rimanere riservate, lasciate alla mercè della platea di internet, forse per intenti etici e “punitivi” nei confronti di Twitch, colpevole di nulla aver fatto in merito al fenomeno dilagante dell’hate speach sulla piattaforma.
Vediamo brevemente insieme i punti salienti della vicenda, anche alla luce delle recenti dichiarazioni rilasciate dai portavoce di Twitch in merito ai risvolti di uno dei data Breach più preoccupanti degli ultimi tempi.
Cos’è un Data Breach e cosa dice il GDPR?
Prima di tutto è importante inquadrare concretamente cosa è avvenuto ai danni di Twitch e in cosa si sostanzia un incidente informatico di questo tipo, oltre che di questa portata.
L’articolo 4 del GDPR definisce la violazione di dati personali come “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati”.
Il data Breach, quindi, può compromettere varie caratteristiche che ineriscono i dati personali, che vanno dall’integrità degli stessi, alla loro riservatezza, fino alla vera e propria disponibilità.
Tale diversità si riflette anche nelle modalità che possono attuarsi per compiere – e quindi poi subire – una violazione di questo tipo. Abbiamo quindi le semplici perdite accidentali di supporti contenenti dati, come una chiavetta USB o uno smartphone, per arrivare poi a casistiche più “pericolose”, come quella in oggetto, che ha visto l’entrata in scena di soggetti esterni – in questo caso a Twitch – i quali hanno abusivamente avuto accesso ai dati personali della piattaforma e hanno poi deciso di utilizzare questi dati rendendoli pubblici e accessibili ad un numero indefinito di persone ( creando un inevitabile e potenzialmente disastroso effetto a catena di violazioni).
Nel caso di specie, quindi, vi è stata una divulgazione non autorizzata di una mole cospicua di dati personali, mediante l’accesso abusivo agli stessi. Questo vuol dire che soggetti terzi – in questo caso un gruppo di hacker anonimi- sono riusciti ad eludere le misure di sicurezza e i protocolli attuati per la protezione delle informazioni riservate della piattaforma, e successivamente a rendere pubbliche tali informazioni.
La portata di questi eventi, ovviamente, è parametrata a diversi fattori, che di volta in volta consentono di valutare la gravità delle conseguenze di una violazione. È ovvio, però, che prevenire episodi di questo tipo sia preferibile, piuttosto che arrivare alla gestione di una situazione già compromessa da una infrazione subita.
Per capire la dimensione di questo fenomeno, in costante espansione, basti pensare che il Garante per la Protezione dei dati personali italiano ha istituito un servizio, accessibile online, tramite il quale i titolari del trattamento dati possono essere seguiti e coadiuvati nella gestione di un data Breach.
Cos’ha fatto Twitch e cosa avrebbe dovuto fare?
Si sa che neanche i più grandi colossi del digitale sono rimasti immuni da fenomeni di questo tipo – e di questa portata- ma sembra che gli esperti del settore abbiamo ravvisato nella scarsa implementazione di misure di sicurezza adeguate la causa dell’incidente avvenuto a Twitch.
La piattaforma però, nelle occasioni in cui ha avuto modo di parlare dell’argomento e di “giustificarsi” in merito, ha precisato che la violazione sarebbe stata causata dalla modifica della configurazione di un server. Tale modifica avrebbe “permesso un accesso improprio a una terza parte non autorizzata” , attraverso il sistema di un soggetto diverso da Twitch. Nel caso di specie, quindi, l’attacco sarebbe avvenuto non in maniera diretta nei confronti della piattaforma, bensì “creando” un percorso alternativo, attraverso un altro soggetto che con la piattaforma collaborava e di cui custodiva una mole ingente di dati.
Viene quindi da chiedersi : che tipo di misure ha attuato Twitch, anche in merito alla scelta e alla gestione dei rapporti con soggetti terzi, che hanno poi determinato un evento di tale portata?
Sebbene non si possa sapere concretamente quali misure e che livello di protezione Twitch assicurasse al momento dell’avvenuta violazione, sicuramente – lato utente – è necessario sopperire a possibili falle nel sistema, mediante comuni misure di sicurezza quale il cambio della password e la scelta dell’autenticazione a due fattori.
Lato Twitch, invece, sarebbe auspicabile un grado di cautela più elevata, anche per quanto riguarda i canali che utilizza con soggetti terzi e i possibili attacchi che quindi anche questi potrebbero ricevere.
Password, carte di credito e dati sensibili sono al sicuro?
Con un comunicato, i vertici della piattaforma di streaming ci hanno tenuto a rassicurare gli utenti in merito alla sicurezza delle proprie credenziali e dei propri dati sensibili, che sembra siano al sicuro, nonostante il data Breach avvenuto, affermando che “siamo sicuri che i sistemi dove sono conservate le credenziali di accesso di Twitch, crittografate con bcrypt, non sono stati violati, così come non sono stati esposti i numeri completi delle carte di credito o le informazioni bancarie o di Accredito diretto/ACH.”
Sembra quindi che la piattaforma si sia subito prodigata , dopo un iniziale silenzio in merito al data Breach subito, per assicurarsi che i diritti e le libertà degli utenti di Twitch non fossero stati violati, sebbene non paia potersi escludere che gli hacker che hanno colpito la piattaforma siano intenzionati a fermarsi, o comunque abbiamo già esaurito le proprie “cartucce” ( non si esclude infatti che gli stessi siano in possesso di altri dati e informazioni personali) .
Come proteggersi da hacker e attacchi informatici?
Dalle basilari norme di sicurezza informatica, fino alle più complesse misure tecnico-organizzative, sicuramente la chiave per evitare vicende come questa – e soprattutto dalla portata altrettanto preoccupante – è la cura di un vero e proprio sistema di protezione dei dati trattati, che possa resistere anche a eventi imprevedibili e non controllabili, come l’attacco da parte di hacker o soggetti comunque terzi.
Per fare ciò è fondamentale avvalersi di figure professionali competenti sia dal punto di vista giuridico, che da quello informatico. Se anche tu hai dubbi su come mettere in atto misure tecnico-organizzative che ti consentono di avere il massimo standard di tutela dei tuoi dati personali, o hai dubbi su soggetti terzi che hanno disponibilità dei tuoi dati, rivolgiti a FCLEX, nostro studio partner, esperto da anni nella protezione dei dati personali e la prevenzione da attacchi informatici.