- En Discord.io, un servicio de enlaces de invitación personalizados para Discord, se filtraron datos de 760,000 usuarios y fueron puestos a la venta en un foro de la darknet; el equipo operador del servicio también confirmó la intrusión
- En la verificación de muestras se confirmó que los correos filtrados estaban vinculados a cuentas de Discord reales, lo que aumenta la posibilidad de daños reales más allá de una simple afirmación
- Discord oficial no está afiliado con Discord.io y revocó los tokens OAuth de los usuarios que usaron Discord.io para bloquear los permisos de la app
- Discord.io cerró todos sus servicios 10 minutos después de tomar conocimiento de la brecha, el 14 de agosto de 2023 CET, y también canceló las suscripciones premium existentes
- Los usuarios afectados deben revisar sus contraseñas y activar 2FA; los datos filtrados pueden ser usados indebidamente para phishing, spam y actividades engañosas
Confirmación de la filtración de Discord.io y respuesta de Discord
- Discord.io era una plataforma que permitía crear enlaces de invitación personalizados y privados para Discord; en ese momento el sitio estaba caído y solo podía consultarse mediante una captura de Archive.org
- Una persona no identificada puso a la venta en un foro de la darknet datos de 760,000 usuarios de Discord.io, hecho que se dio a conocer a través del canal de Telegram Information Leaks, relacionado con un servicio con base en Rusia que rastrea vulnerabilidades, filtraciones de datos y recursos en línea fraudulentos
- El vendedor presentó una muestra para demostrar la autenticidad de los datos, y expertos en ciberseguridad evaluaron que la información de inicio de sesión de la muestra coincidía con usuarios reales de Discord
- Se confirmó mediante varias pruebas de recuperación de contraseña que las direcciones de correo filtradas estaban vinculadas a cuentas reales de Discord
- Un portavoz oficial de Discord declaró que Discord no está afiliado con Discord.io, que no comparte directamente información de usuarios con Discord.io y que no puede acceder ni controlar la información almacenada por Discord.io
- Discord revocó los tokens OAuth de los usuarios de Discord que usaron Discord.io, impidiendo que esa app realice acciones en nombre de los usuarios hasta que vuelvan a autenticarse
- Como medidas de protección de la cuenta, se recomienda revisar la autenticación en dos pasos y la autenticación por SMS
Alcance de la brecha y cronograma de cierre del servicio
- El equipo de Discord.io confirmó oficialmente la brecha en Discord y publicó el desarrollo del incidente, los datos filtrados y las medidas posteriores
-
Cronología del incidente
- Lunes 14 de agosto de 2023, 12:51 AM CET: apareció en BreachForums una vista previa de la base de datos de usuarios de Discord.io
- Lunes 14 de agosto de 2023, 4:30 PM CET: el equipo de Discord.io tomó conocimiento de la brecha
- Lunes 14 de agosto de 2023, 4:36 PM CET: se confirmó la autenticidad de la brecha
- Lunes 14 de agosto de 2023, 4:40 PM CET: comenzaron a cerrarse todos los servicios de Discord.io
Información filtrada y riesgos pendientes
-
Información potencialmente sensible filtrada
- Nombre de usuario al registrarse o nombre de usuario actual de Discord
- ID de Discord
- Dirección de correo vinculada a la cuenta
- Dirección de facturación proporcionada por algunos usuarios antes de la implementación de pagos con Stripe
- Contraseñas con salt y hash, relacionadas principalmente con usuarios anteriores a que Discord.io usara únicamente el inicio de sesión con Discord desde 2018
-
Información no sensible filtrada
- ID interno de usuario
- Detalles del avatar
- Estados de usuario como moderator, admin, has ads, banned, public
- Saldo de monedas y racha actual de un minijuego gratuito
- Claves de API relacionadas con una cantidad limitada de usuarios
- Fecha de registro, última fecha de pago y fecha de vencimiento de la membresía premium
-
Datos que se mantuvieron seguros e indicaciones posteriores
- Toda la información que no se menciona en la lista de datos filtrados
- Detalles de pago almacenados de forma segura en los socios Stripe y PayPal
- Discord.io canceló todas las suscripciones premium existentes y planea contactar individualmente a los suscriptores
- Según la última actualización, el equipo de Discord.io no había logrado contactar a la parte responsable de la brecha y tampoco pudo confirmar si la base de datos se había compartido públicamente
- Se proporcionó una lista de servidores que habían usado el servicio de Discord.io, pero puede incluir enlaces antiguos o inactivos
- Para consultas generales se puede abrir una solicitud en “Support” del helpdesk, y para asuntos sensibles en “Admin”; el equipo de Discord.io advirtió que quizá no pueda responder todos los mensajes
- Los usuarios de la plataforma deben cambiar de inmediato sus contraseñas y activar la autenticación en dos pasos para reforzar la seguridad de sus cuentas
1 comentarios
Opiniones de Hacker News
Por suerte, como me preocupaba que pasara algo así, no usé este sitio web.
Un enlace para entrar a un servidor de Discord a través de Discord.io aparecía entre los primeros resultados de Google, y le di clic sin saber que era un servicio de terceros.
Pero OAuth mostró una pantalla de confirmación que decía “estás por conectar este servicio de terceros y darle acceso completo a tu cuenta”, así que lo rechacé de inmediato.
Es una vergüenza que el equipo legal y la gerencia de Discord no hayan hecho ninguna diligencia debida sobre esto.
Discord podría invalidar o revocar fácilmente los tokens, y no habría tenido datos de contraseñas, sin importar si estaban hasheadas o no.
Claro, como no usé discord.io, quizá me estoy perdiendo de algo.
El inicio de sesión con Google también pide u ofrece básicamente eso por defecto, y si solicita más acceso que eso se ve anormal.
Para aclarar, discord.io !== discord.com, la app de chat; es un servicio relacionado, pero separado.
Por ejemplo, cuando clientes de terceros de Reddit tuvieron que cambiar nombres como “Reddit Sync” a “Sync for Reddit”, y tampoco se les permitió usar el personaje Snoo en su branding.
Pero en este caso no entiendo por qué Discord vio bien este branding. Se ve descaradamente como un dominio oficial alternativo de su propio servicio.
Si buscas “what is discord.io”, salen bastantes posts confundidos en Reddit preguntando si es legit/safe.
Si era una interfaz de terceros adaptada al mensajero Discord, muy usado, me parece que va explícitamente en contra de los términos de servicio de Discord.
Me sorprende que Discord no la haya cerrado directamente.
discord.iono haya sido motivo suficiente para cerrarla.Era una alternativa antes de que esa función se ofreciera oficialmente, es decir, antes de que los usuarios de pago tuvieran que boostear un servidor para poder hacerlo.
En realidad no era una interfaz de terceros que replicara el cliente de Discord. A menos que haya cambiado recientemente.
Me pregunto si estoy a salvo si nunca usé servicios de Discord de terceros.
Me asusté por un momento, pero al pensar qué podría perder, no hay nada. No hay nada irremplazable ni contactos que valga la pena conservar.
Pregunta de principiante: ¿cuáles son los sitios web donde se publican estos datos? Nunca he visto uno.
https://discord.io/ cambió a un aviso de cierre, y ahí mencionan directamente dónde se venden las credenciales. Si buscas ese nombre en Google, sale como primer resultado.
Las credenciales filtradas también se venden en sitios web públicos indexados por motores de búsqueda. No es un club TOR exclusivo para hackers Anonymous pasando por cuatro proxies.
Además, cuando Microsoft, Google o Krebs hablan de una nueva “APT” “rusa” “avanzada”, nueve de cada diez veces suele ser algún chico publicando en estos foros que revende credenciales viejas, un fork de Mirai o una amenaza nada confiable.
Estas cosas son mucho menos cool de lo que la gente las pinta.
También hay motores de búsqueda que cubren esas cosas, pero sospecho que la proporción de estafas a cosas reales será como de 99:1. No sé cómo verificarías si lo que viste es real.
Aun así, si estás en ciberseguridad, seguro te has topado con esos sitios, y también hay sitios que cubren las APT más recientes descubiertas hasta este mes.
Quisiera preguntarles a quienes usaban discord.io: ¿cuál era el atractivo frente a discord.gg? Lamentablemente el sitio está caído, así que ni siquiera puedo ver su propio texto de marketing.
Se puede ver un archivo del sitio aquí: https://web.archive.org/web/20220329132537/https://discord.i...
Si tienes una base de datos y no hay responsabilidad por la seguridad de los datos, las brechas van a ocurrir.
Nada nuevo.
¿Cómo puedo saber si fui afectado? Uso Discord, pero no recuerdo cómo me registré. Probablemente entré por el primer resultado de búsqueda, aunque pudo haber sido un anuncio.
De todos modos, puedes revisarlo en el siguiente enlace. Esa persona recibe muchas donaciones de paquetes de datos crackeados.
https://haveibeenpwned.com/
Google también parece tener personal propio rastreando sitios onion, comprando paquetes de datos crackeados y comparándolos con sus servicios para verificar si hay usuarios afectados.
Mientras haya datos, seguirá habiendo filtraciones de datos.
Como usuario de Discord, ¿qué tanto debería preocuparme?
Si no hiciste eso, creo que tu cuenta no fue comprometida.