1 pontos por GN⁺ 2023-08-15 | 1 comentários | Compartilhar no WhatsApp
  • Dados de 760.000 usuários do serviço de links de convite personalizados do Discord Discord.io foram vazados e colocados à venda em um fórum da darknet; a equipe de operação do serviço também confirmou a violação
  • A verificação de amostras confirmou que os e-mails vazados estavam vinculados a contas do Discord reais, aumentando a probabilidade de dano concreto em vez de ser apenas uma alegação
  • O Discord oficial não tinha parceria com o Discord.io e revogou os tokens OAuth dos usuários que usaram o Discord.io, bloqueando as permissões do app
  • Em 14 de agosto de 2023, horário CET, 10 minutos após tomar conhecimento da violação, o Discord.io encerrou todos os serviços e também cancelou as assinaturas premium existentes
  • Usuários afetados devem verificar suas senhas e ativar a 2FA, pois os dados vazados podem ser explorados em phishing, spam e atividades enganosas

Confirmação do vazamento do Discord.io e resposta do Discord

  • Discord.io era uma plataforma que permitia criar links de convite personalizados e privados para o Discord; na época, o site estava fora do ar e só podia ser consultado por meio de um snapshot do Archive.org
  • Uma pessoa não identificada colocou à venda em um fórum da darknet os dados de 760.000 usuários do Discord.io, fato divulgado pelo canal Information Leaks no Telegram, associado a um serviço baseado na Rússia que rastreia vulnerabilidades, vazamentos de dados e recursos online fraudulentos
  • O vendedor apresentou uma amostra para demonstrar a autenticidade dos dados, e especialistas em cibersegurança avaliaram que as informações de login da amostra correspondiam a usuários reais do Discord
    • A vinculação dos endereços de e-mail vazados a contas reais do Discord foi confirmada por vários testes de recuperação de senha
  • Um porta-voz oficial do Discord afirmou que o Discord não tinha parceria com o Discord.io, não compartilhava informações de usuários diretamente com o Discord.io e não podia acessar nem controlar as informações armazenadas pelo Discord.io
  • O Discord revogou os tokens OAuth de usuários do Discord que usaram o Discord.io, impedindo que o app executasse ações em nome dos usuários até que eles se autenticassem novamente
  • Como medidas de proteção de conta, recomendou a autenticação de dois fatores e a revisão da autenticação por SMS

Escopo da violação e cronograma de encerramento do serviço

  • A equipe do Discord.io confirmou oficialmente a violação no Discord e divulgou o andamento do incidente, os dados vazados e as medidas subsequentes
  • Linha do tempo do incidente

    • Segunda-feira, 14 de agosto de 2023, 12:51 AM CET: uma prévia do banco de dados de usuários do Discord.io apareceu no BreachForums
    • Segunda-feira, 14 de agosto de 2023, 4:30 PM CET: a equipe do Discord.io tomou conhecimento da violação
    • Segunda-feira, 14 de agosto de 2023, 4:36 PM CET: a autenticidade da violação foi confirmada
    • Segunda-feira, 14 de agosto de 2023, 4:40 PM CET: todos os serviços do Discord.io começaram a ser encerrados

Informações vazadas e riscos remanescentes

  • Informações potencialmente sensíveis vazadas

    • Nome de usuário no momento do cadastro ou nome de usuário atual do Discord
    • ID do Discord
    • Endereço de e-mail vinculado à conta
    • Endereço de cobrança fornecido por alguns usuários antes da adoção de pagamentos via Stripe
    • Senhas com salt e hash, principalmente relacionadas a usuários anteriores ao uso exclusivo do login pelo Discord pelo Discord.io a partir de 2018
  • Informações não sensíveis vazadas

    • ID interno de usuário
    • Detalhes do avatar
    • Status do usuário, como moderator, admin, has ads, banned, public
    • Saldo de moedas e streak atual de um minigame gratuito
    • Chaves de API relacionadas a um número limitado de usuários
    • Data de cadastro, data do último pagamento e data de expiração da assinatura premium
  • Dados mantidos em segurança e orientações posteriores

    • Todas as informações não especificadas na lista de vazamento
    • Detalhes de pagamento armazenados com segurança por parceiros como Stripe e PayPal
    • O Discord.io cancelou todas as assinaturas premium existentes e pretende entrar em contato individualmente com os assinantes
    • Até a última atualização, a equipe do Discord.io não havia conseguido contatar a parte responsável pela violação nem confirmar se o banco de dados havia sido compartilhado publicamente
    • Foi fornecida uma lista de servidores que usavam o serviço Discord.io, mas ela pode incluir links antigos ou inativos
    • Consultas gerais podem ser enviadas como “Support” no helpdesk, e assuntos sensíveis como “Admin”; a equipe do Discord.io informou que talvez não consiga responder a todas as mensagens
    • Usuários da plataforma devem alterar imediatamente suas senhas e ativar a autenticação de dois fatores para reforçar a segurança da conta

1 comentários

 
GN⁺ 2023-08-15
Opiniões no Hacker News
  • Felizmente, justamente por me preocupar com esse tipo de coisa, não usei esse site
    Um link para entrar em um servidor do Discord via Discord.io apareceu entre os primeiros resultados do Google, e cliquei sem saber que era um serviço de terceiros
    Mas o OAuth mostrou uma tela de confirmação dizendo “você está prestes a se conectar a este serviço de terceiros e conceder acesso total à sua conta”, então recusei na hora
    É vergonhoso que a equipe jurídica e a diretoria do Discord não tenham feito nenhuma diligência sobre isso

    • Se o Discord deixou esse site operar por tanto tempo usando essa marca, fico pensando se ele não corre o risco de perder os direitos de marca por diluição de marca, por não fazer valer a marca
    • Se o Discord.io usava OAuth, isso em geral não teria sido um grande problema
      Porque o Discord poderia invalidar ou revogar tokens facilmente, e não teria dados de senha, com hash ou não
      Claro, como não usei o discord.io, posso estar deixando passar alguma coisa
    • Fico curioso se o Discord realmente concede alguma permissão além de saber o endereço de e-mail, a foto da conta e o nome
      Login com Google também basicamente pede ou fornece isso por padrão, e, se exigir acesso além disso, parece anormal
  • Para constar: discord.io !== discord.com, o app de chat; é um serviço relacionado, mas separado

    • Normalmente acho meio ruim quando produtos de terceiros para um produto precisam seguir diretrizes de marca rígidas para não parecerem oficiais
      Por exemplo, quando clientes de terceiros do Reddit tiveram que mudar nomes como “Reddit Sync” para “Sync for Reddit”, e também foram impedidos de usar o personagem Snoo no branding
      Mas, neste caso, não entendo por que o Discord achou esse branding aceitável. Ele parece descaradamente um domínio oficial alternativo do próprio serviço
      Se você pesquisar “what is discord.io”, aparecem vários posts confusos no Reddit perguntando se é legítimo/seguro
    • E discord.com !== discordapp.com nem discord.gg
  • Se era uma interface de terceiros para o mensageiro Discord amplamente usado, acho que isso não contrariava explicitamente os termos de uso do Discord?
    É surpreendente que o próprio Discord não tenha fechado isso

    • É surpreendente que só o domínio discord.io já não tenha sido motivo suficiente para derrubarem
    • Era principalmente uma forma de servidores não parceiros terem links de convite permanentes e fáceis de ler
      Era uma alternativa antes de esse recurso ser oferecido oficialmente, ou seja, antes de ele se tornar possível quando usuários pagantes impulsionavam o servidor
      Não era realmente uma interface de terceiros que reproduzia o cliente do Discord. A menos que isso tenha mudado recentemente
  • Fico me perguntando se estou seguro caso nunca tenha usado serviços de terceiros do Discord
    Fiquei assustado por um instante, mas, pensando no que eu poderia perder, não há nada. Nada insubstituível, nem contatos que valha a pena manter

    • Se alguém acessar a conta, pode ler todas as mensagens e provavelmente se passar por mim
  • Pergunta de iniciante: em que sites esse tipo de dado é publicado? Nunca vi um

    • Não sei por que todas as outras respostas estão fazendo tanto mistério e encenando um papel
      https://discord.io/ virou um aviso de encerramento, e ali eles mencionam diretamente onde as credenciais estão sendo vendidas. Se você pesquisar esse nome no Google, aparece como primeiro resultado
      Credenciais vazadas também são vendidas em sites públicos indexados por mecanismos de busca. Não é algum clube TOR exclusivo para hackers Anonymous atrás de quatro proxies
      Além disso, quando Microsoft, Google e Krebs falam de um novo “APT” “russo” “avançado”, em nove de cada dez vezes é algum moleque postando nesses fóruns revendendo credenciais antigas, ou um fork do Mirai, ou uma ameaça nada confiável
      Essas coisas são muito menos estilosas do que as pessoas fazem parecer
    • Existem vários fóruns na darknet. Naturalmente, não estariam na web comum
      Também há mecanismos de busca que lidam com isso, mas imagino que a proporção de golpes para coisas reais seja algo como 99:1. Não sei como verificar se o que vi é verdadeiro
    • Tenho um diretório da maioria desses sites, mas, obviamente, não vou postar com meu nome real
      Ainda assim, se você está na área de cibersegurança, certamente já esbarrou nesses sites, e há sites que cobrem os APTs mais recentes descobertos até este mês
  • Para quem usava discord.io, eu gostaria de perguntar: qual era o atrativo melhor que o discord.gg? Infelizmente o site saiu do ar, então nem dá para ver o próprio texto de marketing deles

  • Se há um banco de dados e não há responsabilidade por segurança de dados, uma invasão acaba acontecendo
    Nada de novo

  • Como posso saber se fui afetado? Uso Discord, mas não lembro como me cadastrei. Provavelmente entrei pelo primeiro resultado da busca, talvez até fosse um anúncio

    • Esse não é o app/site principal do Discord, então você provavelmente não foi afetado
      Mesmo assim, dá para verificar no link abaixo. Esse sujeito recebe muitas doações de pacotes de dados crackeados
      https://haveibeenpwned.com/
      O Google também parece ter uma equipe própria vasculhando sites onion, comprando pacotes de dados crackeados e comparando com seus próprios serviços para ver se há usuários afetados
  • Enquanto houver dados, também continuará havendo vazamentos de dados

  • Como usuário do Discord, quanto eu deveria me preocupar?

    • Pelo que parece, você teria que ter conectado sua conta do Discord a um app separado relacionado ao Discord
      Se não fez isso, acredito que sua conta não tenha sido comprometida