С начала января стримеры на платформе Twitch начали фиксировать случаи исчезновения своих доходов. По словам пострадавших, неизвестные получают доступ к их аккаунтам и меняют платёжные реквизиты, в результате чего выплаты уходят на чужие счета. Владельцы аккаунтов узнают об этом уже после факта — фактически продолжая стримить «впустую».

Особенность инцидентов в том, что у всех пострадавших была включена двухфакторная аутентификация, подтверждённые телефон и электронная почта. При этом пользователи не получали уведомлений о новых входах, смене настроек или подозрительной активности.

Эксперты по кибербезопасности указывают на вероятный механизм атаки — кражу session cookie. Когда пользователь один раз вошёл в аккаунт и отметил устройство как доверенное, браузер сохраняет сессионный токен. Если этот токен похищается через вредоносное расширение, заражённое ПО, фальшивые «спонсорские» программы или компрометированный компьютер, злоумышленник получает уже готовую авторизованную сессию. Для системы он выглядит как легитимный пользователь, поэтому повторный ввод пароля и 2FA не требуется.

Ключевой уязвимостью называют то, что при смене платёжных данных Twitch не запрашивает повторное подтверждение двухфакторной аутентификацией, если действия выполняются из активной сессии.

Дополнительное внимание пользователей привлёк факт, что в тот же период Twitch обновил политику уведомлений о cookie — впервые за долгое время. Официальной связи между обновлением и инцидентами платформа пока не подтверждала.

Специалисты рекомендуют стримерам регулярно завершать активные сессии, проверять список авторизованных устройств, не устанавливать неизвестные расширения браузера и использовать отдельный защищённый профиль для работы с аккаунтом Twitch.