Twitch | Robôs podem coletar IPs de usuários ao acessarem canais

Uma exploração pouco usual de ferramentas oficiais da Twitch está permitindo que contas maliciosas compilem IPs e dados de geolocalização de qualquer usuário do serviço de streaming. Basta acessar um canal malicioso engajado na prática para que o registro seja feito de forma automática e, mais tarde, possivelmente usado em golpes ou ataques de negação de serviço contra espectadores e criadores de conteúdo.

• Ataques contra gamers foram os que mais cresceram durante a pandemia
• “Ladrões” de canais no YouTube podem ter feito mais de 300 vítimas em dois dias
• Golpistas estão tentando roubar canais no YouTube; saiba como se proteger

A ação é possível a partir do mau uso do sistema de extensões disponibilizado pela própria plataforma e, desde o final de julho, se tornou foco de atenção e temor por parte dos streamers. As contas maliciosas usam nomes que incitam uma visita, em alguns casos também pedindo por cliques por meio de mensagens automatizadas no chat — basta que os criadores ou qualquer outro utilizador faça isso para ter suas informações registradas pelos bots.

O caso se torna ainda mais assustador quando, em algumas situações, a transmissão em andamento em tais espaços mostra, justamente, o funcionamento dos robôs e o registro dos IPs, eventualmente atrelados ao nome do canal e informações de geolocalização. Os dados costumam ser compilados em servidores privados do Discord, sob o controle dos responsáveis pela atividade maliciosa. O formato da exploração desestimula até mesmo a realização de uma denúncia já que, como dito, basta acessar um canal malicioso para ter as informações coletadas.

O comportamento semelhante entre as páginas comuns da internet e as extensões da Twitch é o que permite esse tipo de exploração, pois ao serem carregadas, o navegador do usuário se comunica diretamente com os servidores destes recursos. “Alguns [criadores] fazem uso disso para gerar relatórios de origem de tráfego, por exemplo. A partir daí, é possível criar um mecanismo para obter o endereço IP daqueles que abriram uma página de live”, explica o hacker ético Gabriel Pato.

De acordo com ele, os dados de geolocalização que acompanham os endereços possuem certa margem de erro, mas podem permitir a descoberta de informações como cidade e provedor de acesso utilizado. Com isso, se confirma o temor quanto a ataques de negação de serviço, apesar de, segundo o especialista, os criadores de conteúdo serem um alvo preferencial em relação aos usuários comuns da Twitch.

“A preocupação quanto aos ataques é muito maior quando pensamos no streamer como vítima, já que causar instabilidade ou queda de conexão tem reflexos na experiência de todos os espectadores”, explica Pato. “É pouco provável que alguém tenha a intenção de derrubar a conexão de usuários aleatórios”, completa.

Preocupação global

A apuração feita pelo Canaltech mostra que os relatos de canais maliciosos coletando IPs de usuários começaram em 2017; entretanto, os casos parecem ter se intensificado ao final de julho deste ano. Os alertas, normalmente feitos por redes sociais como Twitter e Reddit, pareciam destinados aos utilizadores falantes do inglês, mas nesta semana, chegaram também à comunidade brasileira.

Pato, porém, traz uma palavra de calma aos criadores de conteúdo, indicando que, sob um grande volume de acessos disseminados por spam em diferentes canais, seria difícil distinguir qual dos IPs pertence a criadores de conteúdo, em relação aos dos espectadores comuns. “Embora não veja o cenário atual como algo extremamente problemático, acredito que as coisas seriam melhores se a Twitch permitisse escolher se o usuário quer ou não carregar as extensões de uma live que está assistindo”, completa.

Enquanto uma palavra ou atitude oficial não vêm, a comunidade tenta solucionar a questão pelas próprias mãos. A principal recomendação é o banimento de contas identificadas como parte da coleta de dados; além disso, os criadores de conteúdo, principalmente, devem evitar acessar canais desconhecidos, mesmo que uma mensagem no chat seja postada solicitando exatamente isso.

Uma solução positiva, mas também abrangente, foi criada pelo desenvolvedor Commander Root, ele próprio um streamer na Twitch. Disponível para os navegadores Chrome e Firefox, o plug-in apresentado por ele desabilita toda e qualquer extensão utilizada em canais do serviço. Isso impede o funcionamento das soluções maliciosas, mas também pode bloquear recursos legítimos de interação com as lives, a não ser que o usuário dê autorização expressa para o funcionamento de alguns de forma específica.

Enquanto isso, não existem palavras oficiais da plataforma sobre o assunto. Durante as semanas em que apurou o caso, a reportagem tentou contato com a Twitch e não recebeu nenhum retorno até a publicação.

Atualização 31/08/2021 15h25: Em comunicado enviado ao Canaltech, o Discord afirmou tomar atitudes que envolvem o banimento de usuários e o fechamento de servidores sempre que atividades que comprometam a segurança são detectadas; em casos apropriados, tais ações também envolvem o contato com as autoridades. A companhia não falou especificamente sobre a situação citada pela reportagem, mas disse levar a proteção dos usuários a sério e ter uma política de tolerância zero contra situações de ódio e violência, que são monitoradas de forma proativa.