Утечка данных стриминговой платформы Twitch привлекла внимание Роскомнадзора

Ведомство направило официальный запрос в центральный офис компании
Самой Twitch утечка данных вряд ли нанесет какой-либо значительный репутационныЙ урон/ Jakub Porzycki / NurPhoto via Getty Images

Роскомнадзор направил запрос в американский офис интернет-сервиса Twitch с требованием предоставить детальную информацию об утечке, происшедшей 6 октября, сообщил «Ведомостям» представитель ведомства. Роскомнадзор, в частности, потребовал предоставить данные о скомпрометированном объеме личной информации российских пользователей Twitch. «Ситуация, когда личные данные пользователей оказываются в свободном доступе, неприемлема. На сегодняшний день жалоб от российских граждан по факту утечки персональных данных пользователей указанного интернет-сервиса в Роскомнадзор не поступало», – сообщил собеседник в ведомстве.

Организаторы стримингового сервиса должны дать ответ ведомству в течение 30 дней с момента получения запроса. Ответственность за непредставление или несвоевременное предоставление запрошенных сведений наступает в соответствии со ст. 19.7 КоАП РФ, указали в Роскомнадзоре.

В ведомстве также сообщили, что граждане, пострадавшие от компрометации персональных данных, имеют право требовать от виновного лица соразмерной компенсации как в досудебном, так и в судебном порядке. «Если гражданин полагает, что его права как субъекта персональных данных нарушены, он может обратиться в Роскомнадзор, как уполномоченный орган по защите прав субъектов персональных данных. Ведомство рассматривает все обращения и в пределах полномочий принимает необходимые действия для восстановления прав гражданина вплоть до обращения в суд», – указал представитель Роскомнадзора.

«Ведомости» направили запрос в Twitch, на момент публикации ответа не поступило.

Какие данные Twitch попали в интернет

Исходный код Twitch.tv, включающий историю изменений;
отчет о выплатах создателям контента начиная с 2019 г.;
информация об идентификации пользователей и механизмах аутентификации;
информация о сервисах, с помощью которых сотрудники Twitch проверяют уровень безопасности платформы;
ПО Twitсh для мобильных и настольных ПК, игровых консолей;
проприетарный набор средств разработки и внутренние автоматизированные системы, используемые Twitch;
информация о разработанной Amazon Game Studios и пока не выпущенной платформе Vapor – конкурентемагазина игр Steam;
данные о проектах CurseForge и Indie Game Database, принадлежащих Twitch

О том, что принадлежащая Amazon платформа онлайн-трансляций Twitch подверглась крупной утечке данных, стало известно 6 октября. В тот день конфиденциальная информация Twitch была опубликована анонимным пользователем популярного у хакеров сайта 4chan. Он предупредил, что это только первая часть имеющихся файлов.

Twitch официально подтвердила факт утечки. На следующий день компания раскрыла в своем блоге некоторые детали инцидента: «Мы выяснили, что из-за ошибки при изменении конфигурации сервера Twitch, которая затем умышленно была использована третьей стороной, некоторые данные стали доступны в интернете». По состоянию на 7 октября, как сообщила Twitch, компания «не выяснила все обстоятельства» утечки, поэтому пока не может «точно определить масштаб проблемы». В то же время Twitch заявила, что на «данный момент нет никаких признаков того, что данные учетных записей были скомпрометированы». «Полные номера банковских карт не хранятся на Twitch, поэтому утечка не затронула эти данные», – сообщил представитель компании в блоге. Компания также выполнила сброс ключей трансляций, из-за чего некоторым пользователям могло потребоваться ручное обновление ПО, следует из сообщения Twitch.

Amazon приобрел сайт, изначально называвшийся Justin.tv, за $970 млн в 2014 г. Это была одна из крупнейших сделок группы в то время и серьезный шаг по выходу в игровую индустрию. «За это [Джефф] Безос [основатель Amazon] заплатил $970 млн, а мы вам раздаем бесплатно», – написал анонимный пользователь 4chan. «Ведомости» направили запрос в Amazon.

«Чтение утекшей информации, которая содержит в себе полный исходный код, включая неизданное программное обеспечение, набор средств разработки, финансовые отчеты и внутренние сервисы по тестированию рисков взлома, бросит в дрожь каждого матерого профессионала в области кибербезопасности. Это настолько плохо, насколько это возможно», – прокомментировал ситуацию Арчи Агарваль, основатель и гендиректор сервиса ThreatModeler (цитата по securitymagazine.com).

В чистом виде благотворительность

Как и у конкурирующего YouTube, наиболее высокодоходные пользователи Twitch ежегодно получают более $1 млн выручки от рекламодателей и подписчиков и в виде разовых «чаевых» от поклонников, пишет Financial Times.

«В 2021 г. Twitch в России уже составляет определенную конкуренцию YouTube как по количеству пользователей, так и по их активности. Число авторизованных русскоязычных зрителей платформы в первом полугодии перевалило за 9 млн», – сообщила «Ведомостям» Екатерина Бибик, руководитель российского подразделения Admitad Affiliate.

По ее данным, количество русскоязычных каналов на Twitch сейчас находится на уровне 130 000–140 000. «При этом интересно, что лишь чуть более 40 000 из них являются официальными партнерами Twitch, а значит, могут зарабатывать на платных подписках, видеороликах рекламной сети и других возможностях от самой платформы, – рассуждает Бибик. – Но доход стримерам приносит, конечно, не только партнерство с самой площадкой. Авторы также получают прибыль от донатов подписчиков, прямых рекламных контрактов, связанных с их каналами ресурсов на YouTube и в других соцсетях и от сотрудничества с партнерскими сетями».

По оценке Admitad Affiliate, стример может легко зарабатывать на своем канале от 25 000 до 250 000 руб. в месяц, а у топовых авторов с многотысячными эфирами заработки исчисляются миллионами.

«Помимо онлайн-игр больше всего стримеры зарабатывают на рекламе брендов электроники, компьютерных комплектующих и доставки еды», – отмечает Бибик. 

Некоторые стримеры, чьи аккаунты были упомянуты в утечке, подтвердили, что их долларовые доходы, указанные в материалах, совпадают с их настоящими заработками, пишет Financial Times.

Согласно опубликованным данным о доходах 10 000 стримеров Twitch, максимальную выручку получил стример CriticalRole – $9,6 млн в период с 2019 по 2021 г. Среди русскоязычных стримеров наиболее высокодоходным стал Сергей Беляков (HellYeahPlay) – за три года он заработал на платформе $278 300 и занимает 605-е место в общем «рейтинге» доходов, следующий – стример Александр Иванушкин (KarmikKoala) с заработком $262 600, писал Forbes.

«Для меня лично вообще ничего не изменилось, потому что эта информация и так у меня была открыта всегда и любой человек с калькулятором мог посчитать. И тот факт, что СМИ опять этот вопрос раздувают, обращаясь за комментариями к экспертам по экспертам, которые вообще не понимают то, о чем они пишут, что такое стриминг, из чего состоит сумма доходов стримера (это по факту обычные пожертвования от зрителей стримера), вызывает у меня только негатив, – сообщил «Ведомостям» Иванушкин. – Обращаться [в Роскомнадзор] не собираюсь, так как я уже сказал, что вся эта информация и была в открытом доступе и я совершенно не пострадавшая сторона. Пострадавшая сторона – это компания Twitch, которой предстоит справиться с крупной утечкой». Иванушкин не ответил, соответствуют ли опубликованные доходы KarmikKoala реальным поступлениям от Twitch.

Украинский стример Ростислав Пантелеев (52 000 подписчиков в Twitch) в переписке с «Ведомостями» выразил сомнение, что налоговая служба заинтересуется опубликованными данными о доходах стримеров. «Налоговая не придет и не задаст вопросы, потому что этот доход в чистом виде благотворительность, если говорить о донатах. А доход с рекламы у меня лично отсутствует. Есть лишь пожертвования от зрителей в виде платной подписки и доната. Стример – это как музыкант у метро с гитарой. Он играет, а прохожие платят за представление. В эпоху развитых технологий многие это делают у компьютера», – сообщил Пантелеев.

Штраф или блокировка

Если Twitch не ответит Роскомнадзору в установленный срок, самая вероятная санкция – штраф до 5000 руб. по статье 19.7 КоАП, рассуждает преподаватель Moscow Digital School Вадим Перевалов: «Штрафы по этой статье ранее накладывали на Twitter и Facebook». Закон о персональных данных наделяет Роскомнадзор правом обращаться в суд с требованием признать факт нарушения российского законодательства о персональных данных и на основании такого судебного решения заблокировать доступ к соответствующему онлайн-ресурсу, напоминает Перевалов.

Роскомнадзор вправе запросить данные о численности аудитории интернет-ресурса в целях оценки – подпадает ли он под регулирование федерального закона «Об информации, информационных технологиях и о защите информации», отмечает зампред комиссии по правовому обеспечению цифровой экономики московского отделения Ассоциации юристов России Борис Едидин: «Непредоставление данных не отменяет право регулятора самостоятельно оценить аудиторию ресурса. Вместе с тем за непредоставление информации или отказ от предоставления сведений теоретически владелец ресурса может быть привлечен к ответственности по ст. 19.7 КоАП РФ, штраф за это правонарушение – 5000 руб. для юридических лиц».

Компании по-разному реагируют на требования российских регуляторов, продолжает Едидин. «В ряде случаев предоставляют запрашиваемые сведения, если это не противоречит их внутренней политике. В случае наложения штрафов можно отметить практику компании Google, которая оплатила штраф, наложенный по требованию ФАС России, – рассказывает юрист. – Есть и случаи игнорирования требований и отказ от выплаты штрафов. Шансы взыскать штрафы с компаний, не имеющих здесь физических представительств, пока не очень велики».

Вместе с тем закон «о приземлении» (обязывающий иностранные интернет-компании открывать полномочные представительства в России. – «Ведомости») содержит довольно обширный инструментарий мер воздействия на нарушителей, напоминает Едидин. Этими мерами может воспользоваться Роскомнадзор для целей так называемого приземления, полагает он.

«Это неплохой PR»

Самой Twitch такая утечка данных вряд ли нанесет какой-либо значительный репутационный урон, полагает Алексей Андреев, управляющий партнер Depot. «Прежде всего потому, что никакая порочащая или спорная информация об этой платформе как о бизнесе не была скомпрометирована. Нет данных об условном харассменте среди сотрудников компании, каких-либо злоупотреблениях, притеснениях меньшинств, случаев сексизма, гендерного неравенства и т. п. – к ним сейчас приковано внимание в России и за рубежом. Не было и информации о каких-либо налоговых преступлениях, взятках, нарушениях экономического законодательства и т. п., – рассуждает Андреев. – Даже наоборот: слив помог в продвижении бренда Twitch – как известно, взламывают таким образом только какие-то крупные платформы, что ставит Twitch в один ряд с крупнейшими брендами в своем сегменте. Кроме того, о сервисе заговорили в СМИ, блогах, все обсуждают происшедшее, это неплохой PR».

Единственная отчасти потерпевшая в этом кейсе сторона – это сами стримеры, данные о доходах которых были обнародованы, считает Андреев: «Если стример общается со своей аудиторией на равных, позиционируя себя как простой пользователь, его аудитории предстоит принять тот факт, что у их любимца, оказывается, миллионные заработки от общения с ними».

Гендиректор Hype Agency Григорий Зорин, напротив, считает, что ситуация благоприятно повлияет на развитие стримингового направления. «Это отразится на стримерах абсолютно положительно, потому что масштабы индустрии достаточно существенны, а рынок реально не представляет об их доходах, также молодежь не знает, как они зарабатывают. И раскрытие этой информации наверняка привлечет новых стримеров на платформы и будет служить неким толчком для процветания этой культуры», – сказал Зорин.