- Dados de 760.000 usuários do serviço de links de convite personalizados do Discord Discord.io foram vazados e colocados à venda em um fórum da darknet; a equipe de operação do serviço também confirmou a violação
- A verificação de amostras confirmou que os e-mails vazados estavam vinculados a contas do Discord reais, aumentando a probabilidade de dano concreto em vez de ser apenas uma alegação
- O Discord oficial não tinha parceria com o Discord.io e revogou os tokens OAuth dos usuários que usaram o Discord.io, bloqueando as permissões do app
- Em 14 de agosto de 2023, horário CET, 10 minutos após tomar conhecimento da violação, o Discord.io encerrou todos os serviços e também cancelou as assinaturas premium existentes
- Usuários afetados devem verificar suas senhas e ativar a 2FA, pois os dados vazados podem ser explorados em phishing, spam e atividades enganosas
Confirmação do vazamento do Discord.io e resposta do Discord
- Discord.io era uma plataforma que permitia criar links de convite personalizados e privados para o Discord; na época, o site estava fora do ar e só podia ser consultado por meio de um snapshot do Archive.org
- Uma pessoa não identificada colocou à venda em um fórum da darknet os dados de 760.000 usuários do Discord.io, fato divulgado pelo canal Information Leaks no Telegram, associado a um serviço baseado na Rússia que rastreia vulnerabilidades, vazamentos de dados e recursos online fraudulentos
- O vendedor apresentou uma amostra para demonstrar a autenticidade dos dados, e especialistas em cibersegurança avaliaram que as informações de login da amostra correspondiam a usuários reais do Discord
- A vinculação dos endereços de e-mail vazados a contas reais do Discord foi confirmada por vários testes de recuperação de senha
- Um porta-voz oficial do Discord afirmou que o Discord não tinha parceria com o Discord.io, não compartilhava informações de usuários diretamente com o Discord.io e não podia acessar nem controlar as informações armazenadas pelo Discord.io
- O Discord revogou os tokens OAuth de usuários do Discord que usaram o Discord.io, impedindo que o app executasse ações em nome dos usuários até que eles se autenticassem novamente
- Como medidas de proteção de conta, recomendou a autenticação de dois fatores e a revisão da autenticação por SMS
Escopo da violação e cronograma de encerramento do serviço
- A equipe do Discord.io confirmou oficialmente a violação no Discord e divulgou o andamento do incidente, os dados vazados e as medidas subsequentes
-
Linha do tempo do incidente
- Segunda-feira, 14 de agosto de 2023, 12:51 AM CET: uma prévia do banco de dados de usuários do Discord.io apareceu no BreachForums
- Segunda-feira, 14 de agosto de 2023, 4:30 PM CET: a equipe do Discord.io tomou conhecimento da violação
- Segunda-feira, 14 de agosto de 2023, 4:36 PM CET: a autenticidade da violação foi confirmada
- Segunda-feira, 14 de agosto de 2023, 4:40 PM CET: todos os serviços do Discord.io começaram a ser encerrados
Informações vazadas e riscos remanescentes
-
Informações potencialmente sensíveis vazadas
- Nome de usuário no momento do cadastro ou nome de usuário atual do Discord
- ID do Discord
- Endereço de e-mail vinculado à conta
- Endereço de cobrança fornecido por alguns usuários antes da adoção de pagamentos via Stripe
- Senhas com salt e hash, principalmente relacionadas a usuários anteriores ao uso exclusivo do login pelo Discord pelo Discord.io a partir de 2018
-
Informações não sensíveis vazadas
- ID interno de usuário
- Detalhes do avatar
- Status do usuário, como moderator, admin, has ads, banned, public
- Saldo de moedas e streak atual de um minigame gratuito
- Chaves de API relacionadas a um número limitado de usuários
- Data de cadastro, data do último pagamento e data de expiração da assinatura premium
-
Dados mantidos em segurança e orientações posteriores
- Todas as informações não especificadas na lista de vazamento
- Detalhes de pagamento armazenados com segurança por parceiros como Stripe e PayPal
- O Discord.io cancelou todas as assinaturas premium existentes e pretende entrar em contato individualmente com os assinantes
- Até a última atualização, a equipe do Discord.io não havia conseguido contatar a parte responsável pela violação nem confirmar se o banco de dados havia sido compartilhado publicamente
- Foi fornecida uma lista de servidores que usavam o serviço Discord.io, mas ela pode incluir links antigos ou inativos
- Consultas gerais podem ser enviadas como “Support” no helpdesk, e assuntos sensíveis como “Admin”; a equipe do Discord.io informou que talvez não consiga responder a todas as mensagens
- Usuários da plataforma devem alterar imediatamente suas senhas e ativar a autenticação de dois fatores para reforçar a segurança da conta
1 comentários
Opiniões no Hacker News
Felizmente, justamente por me preocupar com esse tipo de coisa, não usei esse site
Um link para entrar em um servidor do Discord via Discord.io apareceu entre os primeiros resultados do Google, e cliquei sem saber que era um serviço de terceiros
Mas o OAuth mostrou uma tela de confirmação dizendo “você está prestes a se conectar a este serviço de terceiros e conceder acesso total à sua conta”, então recusei na hora
É vergonhoso que a equipe jurídica e a diretoria do Discord não tenham feito nenhuma diligência sobre isso
Porque o Discord poderia invalidar ou revogar tokens facilmente, e não teria dados de senha, com hash ou não
Claro, como não usei o discord.io, posso estar deixando passar alguma coisa
Login com Google também basicamente pede ou fornece isso por padrão, e, se exigir acesso além disso, parece anormal
Para constar: discord.io !== discord.com, o app de chat; é um serviço relacionado, mas separado
Por exemplo, quando clientes de terceiros do Reddit tiveram que mudar nomes como “Reddit Sync” para “Sync for Reddit”, e também foram impedidos de usar o personagem Snoo no branding
Mas, neste caso, não entendo por que o Discord achou esse branding aceitável. Ele parece descaradamente um domínio oficial alternativo do próprio serviço
Se você pesquisar “what is discord.io”, aparecem vários posts confusos no Reddit perguntando se é legítimo/seguro
Se era uma interface de terceiros para o mensageiro Discord amplamente usado, acho que isso não contrariava explicitamente os termos de uso do Discord?
É surpreendente que o próprio Discord não tenha fechado isso
discord.iojá não tenha sido motivo suficiente para derrubaremEra uma alternativa antes de esse recurso ser oferecido oficialmente, ou seja, antes de ele se tornar possível quando usuários pagantes impulsionavam o servidor
Não era realmente uma interface de terceiros que reproduzia o cliente do Discord. A menos que isso tenha mudado recentemente
Fico me perguntando se estou seguro caso nunca tenha usado serviços de terceiros do Discord
Fiquei assustado por um instante, mas, pensando no que eu poderia perder, não há nada. Nada insubstituível, nem contatos que valha a pena manter
Pergunta de iniciante: em que sites esse tipo de dado é publicado? Nunca vi um
https://discord.io/ virou um aviso de encerramento, e ali eles mencionam diretamente onde as credenciais estão sendo vendidas. Se você pesquisar esse nome no Google, aparece como primeiro resultado
Credenciais vazadas também são vendidas em sites públicos indexados por mecanismos de busca. Não é algum clube TOR exclusivo para hackers Anonymous atrás de quatro proxies
Além disso, quando Microsoft, Google e Krebs falam de um novo “APT” “russo” “avançado”, em nove de cada dez vezes é algum moleque postando nesses fóruns revendendo credenciais antigas, ou um fork do Mirai, ou uma ameaça nada confiável
Essas coisas são muito menos estilosas do que as pessoas fazem parecer
Também há mecanismos de busca que lidam com isso, mas imagino que a proporção de golpes para coisas reais seja algo como 99:1. Não sei como verificar se o que vi é verdadeiro
Ainda assim, se você está na área de cibersegurança, certamente já esbarrou nesses sites, e há sites que cobrem os APTs mais recentes descobertos até este mês
Para quem usava discord.io, eu gostaria de perguntar: qual era o atrativo melhor que o discord.gg? Infelizmente o site saiu do ar, então nem dá para ver o próprio texto de marketing deles
O arquivo do site pode ser visto aqui: https://web.archive.org/web/20220329132537/https://discord.i...
Se há um banco de dados e não há responsabilidade por segurança de dados, uma invasão acaba acontecendo
Nada de novo
Como posso saber se fui afetado? Uso Discord, mas não lembro como me cadastrei. Provavelmente entrei pelo primeiro resultado da busca, talvez até fosse um anúncio
Mesmo assim, dá para verificar no link abaixo. Esse sujeito recebe muitas doações de pacotes de dados crackeados
https://haveibeenpwned.com/
O Google também parece ter uma equipe própria vasculhando sites onion, comprando pacotes de dados crackeados e comparando com seus próprios serviços para ver se há usuários afetados
Enquanto houver dados, também continuará havendo vazamentos de dados
Como usuário do Discord, quanto eu deveria me preocupar?
Se não fez isso, acredito que sua conta não tenha sido comprometida