1 điểm bởi GN⁺ 2023-08-15 | 1 bình luận | Chia sẻ qua WhatsApp
  • Dữ liệu của 760.000 người dùng đã bị rò rỉ từ Discord.io, dịch vụ liên kết mời tùy chỉnh cho Discord, và được đưa lên danh sách rao bán trên một diễn đàn dark web; đội ngũ vận hành dịch vụ cũng đã xác nhận vụ xâm phạm
  • Qua việc xác minh mẫu dữ liệu, các email bị lộ được xác nhận là có liên kết với tài khoản Discord thực, nên khả năng thiệt hại thực tế cao hơn một lời rao bán suông
  • Discord chính thức cho biết không liên kết với Discord.io, đồng thời đã thu hồi OAuth token của những người dùng từng sử dụng Discord.io để chặn quyền của ứng dụng
  • Discord.io đã dừng toàn bộ dịch vụ chỉ 10 phút sau khi nhận biết vụ xâm phạm vào ngày 14/8/2023 theo CET, đồng thời hủy cả các gói đăng ký premium hiện có
  • Người dùng bị ảnh hưởng nên kiểm tra mật khẩu và bật 2FA, vì dữ liệu bị lộ có thể bị lạm dụng cho phishing, spam và các hoạt động lừa đảo

Discord.io xác nhận rò rỉ và phản ứng của Discord

  • Discord.io là nền tảng từng cho phép tạo liên kết mời Discord cá nhân hóa; tại thời điểm đó trang đã ngừng hoạt động và chỉ còn có thể xem qua bản chụp trên Archive.org
  • Một cá nhân chưa được xác định đã đăng dữ liệu của 760.000 người dùng Discord.io lên danh sách rao bán trên một diễn đàn dark web; thông tin này được biết đến qua kênh Telegram Information Leaks, liên quan đến dịch vụ theo dõi các tài nguyên trực tuyến về lỗ hổng, rò rỉ dữ liệu và lừa đảo có nguồn gốc từ Nga
  • Để chứng minh tính xác thực của dữ liệu, người bán đã đưa ra một mẫu, và các chuyên gia an ninh mạng đánh giá rằng thông tin đăng nhập trong mẫu khớp với người dùng Discord thực
    • Việc các địa chỉ email bị lộ có thực sự liên kết với tài khoản Discord hay không đã được xác nhận qua nhiều thử nghiệm khôi phục mật khẩu
  • Người phát ngôn chính thức của Discord cho biết Discord không liên kết với Discord.io, không trực tiếp chia sẻ thông tin người dùng với Discord.io và cũng không thể truy cập hoặc kiểm soát thông tin mà Discord.io lưu trữ
  • Discord đã thu hồi OAuth token của những người dùng Discord từng sử dụng Discord.io, khiến ứng dụng đó không thể thực hiện hành động thay mặt người dùng cho đến khi họ xác thực lại
  • Để bảo vệ tài khoản, Discord khuyến nghị cân nhắc dùng xác thực hai bước và xác thực SMS

Phạm vi xâm phạm và lịch trình dừng dịch vụ

  • Đội ngũ Discord.io đã chính thức xác nhận vụ xâm phạm trong một bài đăng trên Discord, đồng thời công bố diễn biến sự việc, dữ liệu bị lộ và các biện pháp tiếp theo
  • Dòng thời gian sự việc

    • Thứ Hai, ngày 14/8/2023, 12:51 AM CET: Bản xem trước cơ sở dữ liệu người dùng Discord.io xuất hiện trên BreachForums
    • Thứ Hai, ngày 14/8/2023, 4:30 PM CET: Đội ngũ Discord.io nhận biết vụ xâm phạm
    • Thứ Hai, ngày 14/8/2023, 4:36 PM CET: Tính xác thực của vụ xâm phạm được xác nhận
    • Thứ Hai, ngày 14/8/2023, 4:40 PM CET: Toàn bộ dịch vụ Discord.io bắt đầu ngừng hoạt động

Thông tin bị lộ và các rủi ro còn lại

  • Thông tin nhạy cảm có thể đã bị lộ

    • Tên người dùng khi đăng ký hoặc tên người dùng Discord hiện tại
    • Discord ID
    • Địa chỉ email liên kết với tài khoản
    • Địa chỉ thanh toán do một số người dùng cung cấp trước khi tích hợp thanh toán Stripe
    • Mật khẩu đã được thêm salt và băm, chủ yếu liên quan đến những người dùng từ trước khi Discord.io chỉ dùng đăng nhập bằng Discord từ năm 2018
  • Thông tin không nhạy cảm đã bị lộ

    • ID người dùng nội bộ
    • Chi tiết avatar
    • Trạng thái người dùng như moderator, admin, has ads, banned, public
    • Số dư coin và streak hiện tại trong minigame miễn phí
    • API key liên quan đến một số lượng người dùng hạn chế
    • Ngày đăng ký, ngày thanh toán gần nhất, ngày hết hạn thành viên premium
  • Dữ liệu vẫn được giữ an toàn và hướng dẫn tiếp theo

    • Mọi thông tin không được nêu rõ trong danh sách rò rỉ
    • Chi tiết thanh toán được lưu trữ an toàn tại các đối tác Stripe và PayPal
    • Discord.io đã hủy toàn bộ gói đăng ký premium hiện có và sẽ liên hệ riêng với các thuê bao
    • Tính đến bản cập nhật cuối cùng, đội ngũ Discord.io chưa thể liên hệ với bên gây ra vụ xâm phạm và cũng chưa xác nhận được liệu cơ sở dữ liệu đã bị chia sẻ công khai hay chưa
    • Danh sách các máy chủ từng sử dụng dịch vụ Discord.io đã được cung cấp, nhưng có thể bao gồm các liên kết cũ hoặc không còn hoạt động
    • Với thắc mắc chung, người dùng có thể gửi yêu cầu tới “Support” trong helpdesk; với vấn đề nhạy cảm thì dùng “Admin”; đội ngũ Discord.io cũng lưu ý rằng họ có thể không trả lời được mọi tin nhắn
    • Người dùng nền tảng nên đổi mật khẩu ngay lập tức và bật xác thực hai bước để tăng cường bảo mật tài khoản

1 bình luận

 
GN⁺ 2023-08-15
Các ý kiến trên Hacker News
  • May là vì lo những chuyện như thế này nên tôi đã không dùng trang web đó
    Link để vào máy chủ Discord thông qua Discord.io xuất hiện ở các kết quả đầu của Google, và tôi đã bấm vào mà không biết đó là dịch vụ bên thứ ba
    Nhưng OAuth hiện màn hình xác nhận rằng “bạn sắp kết nối với dịch vụ bên thứ ba này và cấp quyền truy cập toàn bộ tài khoản”, nên tôi từ chối ngay
    Việc đội ngũ pháp lý và ban lãnh đạo Discord hoàn toàn không thẩm định phần này là điều đáng xấu hổ

    • Nếu Discord đã để trang web này dùng thương hiệu đó và vận hành lâu như vậy, tôi tự hỏi liệu họ có nguy cơ mất quyền nhãn hiệu do không thực thi, dẫn đến pha loãng nhãn hiệu hay không
    • Nếu Discord.io dùng OAuth thì phần lớn chuyện này đã không phải vấn đề lớn
      Vì Discord có thể dễ dàng vô hiệu hóa hoặc thu hồi token, và họ cũng sẽ không có dữ liệu mật khẩu, bất kể có được băm hay không
      Tất nhiên, vì tôi không dùng discord.io nên có thể tôi đang bỏ sót điều gì đó
    • Tôi tò mò liệu Discord có thật sự cấp quyền truy cập nào khác ngoài việc biết địa chỉ email, ảnh tài khoản và tên hay không
      Đăng nhập bằng Google về cơ bản cũng yêu cầu hoặc cung cấp chừng đó, và nếu đòi quyền truy cập nhiều hơn thì trông sẽ bất thường
  • Để tham khảo, discord.io !== discord.com là ứng dụng chat, chúng có liên quan nhưng là các dịch vụ riêng biệt

    • Thường thì tôi thấy hơi không thích việc sản phẩm bên thứ ba cho một sản phẩm nào đó phải tuân theo các nguyên tắc thương hiệu nghiêm ngặt để không trông như chính thức
      Chẳng hạn như các client Reddit bên thứ ba phải đổi tên từ “Reddit Sync” thành “Sync for Reddit”, và cũng không được dùng nhân vật Snoo trong branding
      Nhưng trong trường hợp này thì tôi không hiểu vì sao Discord lại thấy kiểu branding này là ổn. Nó lộ liễu trông như một tên miền chính thức thay thế cho dịch vụ của họ
      Tìm “what is discord.io” cũng ra khá nhiều bài Reddit bối rối hỏi nó có hợp pháp/an toàn không
    • discord.com !== discordapp.com hoặc discord.gg nữa
  • Nếu đó là “giao diện bên thứ ba được thiết kế cho trình nhắn tin Discord được dùng rộng rãi” thì tôi nghĩ nó chẳng phải rõ ràng trái với điều khoản sử dụng của Discord sao
    Thật ngạc nhiên là Discord không tự tay đóng nó lại

    • Chỉ riêng tên miền discord.io mà không đủ là lý do để đóng cửa thì cũng đáng ngạc nhiên
    • Chủ yếu đó là cách để các máy chủ không phải partner có link mời vĩnh viễn, dễ đọc
      Đây là phương án thay thế trước khi tính năng như vậy được cung cấp chính thức, tức là trước khi người dùng trả phí phải boost máy chủ mới làm được
      Thực ra nó không phải kiểu giao diện bên thứ ba tái tạo lại client Discord. Nếu gần đây không có gì thay đổi
  • Tôi tự hỏi nếu chưa từng dùng dịch vụ Discord bên thứ ba nào thì có an toàn không
    Ban đầu tôi hơi hoảng, nhưng nghĩ xem mình mất gì thì chẳng có gì cả. Không có gì không thể thay thế, cũng không có liên hệ nào đáng để duy trì

    • Nếu ai đó truy cập được tài khoản, họ có thể đọc mọi tin nhắn, và có lẽ còn có thể mạo danh tôi
  • Câu hỏi newbie: những trang web nơi dữ liệu kiểu này được đăng là ở đâu? Tôi chưa từng thấy bao giờ

    • Tôi không hiểu sao các câu trả lời khác cứ tỏ ra bí hiểm và nhập vai như vậy
      https://discord.io/ đã đổi thành thông báo ngừng hoạt động, và ở đó trực tiếp nhắc đến nơi thông tin xác thực đang được bán. Tìm tên đó trên Google thì nó là kết quả đầu tiên
      Thông tin xác thực bị rò rỉ cũng được bán trên các trang web công khai được công cụ tìm kiếm lập chỉ mục. Nó không phải kiểu câu lạc bộ TOR dành riêng cho hacker Anonymous đi qua bốn lớp proxy
      Nói thêm, khi Microsoft, Google, Krebs nói về một “APT” “Nga” “cao cấp” mới, thì chín trên mười trường hợp cũng thường là một đứa nào đó đăng bài trên các diễn đàn kiểu này để bán lại thông tin xác thực cũ, một fork của Mirai, hoặc một mối đe dọa hoàn toàn khó tin
      Những thứ này kém ngầu hơn rất nhiều so với cách người ta tô vẽ
    • Có nhiều diễn đàn darknet. Tất nhiên chúng sẽ không nằm trên web thông thường
      Cũng có công cụ tìm kiếm xử lý những thứ như vậy, nhưng tôi đoán tỷ lệ lừa đảo so với thật khoảng 99:1. Tôi không biết làm sao xác minh thứ mình thấy là thật
    • Tôi có thư mục của phần lớn các trang như vậy, nhưng dĩ nhiên sẽ không đăng bằng tên thật
      Dù vậy, nếu bạn làm trong mảng an ninh mạng thì chắc chắn đã từng gặp các trang này, và cũng có những trang theo dõi các APT mới nhất được phát hiện cho đến tháng này
  • Tôi muốn hỏi những người từng dùng discord.io: điểm hấp dẫn hơn discord.gg là gì? Tiếc là trang đã sập nên tôi thậm chí không xem được lời marketing của chính họ

  • Khi có cơ sở dữ liệu mà không có trách nhiệm bảo mật dữ liệu thì việc bị xâm nhập là điều tất yếu
    Chẳng có gì mới

  • Làm sao biết tôi có bị ảnh hưởng không? Tôi có dùng Discord nhưng không nhớ mình đã đăng ký thế nào. Có lẽ tôi vào từ kết quả tìm kiếm đầu tiên, cũng có thể là quảng cáo

    • Đây không phải ứng dụng/trang Discord chính nên có lẽ bạn không bị ảnh hưởng
      Dù vậy có thể kiểm tra ở liên kết dưới đây. Người đó được quyên góp rất nhiều gói dữ liệu đã bị crack
      https://haveibeenpwned.com/
      Google dường như cũng có nhân sự riêng lục lọi các trang onion để mua các gói dữ liệu đã bị crack, rồi đối chiếu với dịch vụ của họ xem có người dùng bị ảnh hưởng hay không
  • Chừng nào còn dữ liệu thì rò rỉ dữ liệu sẽ còn tiếp diễn

  • Là người dùng Discord, tôi nên lo lắng đến mức nào?

    • Có vẻ bạn phải từng liên kết tài khoản Discord của mình với một ứng dụng riêng có liên quan đến Discord
      Nếu bạn không làm vậy thì tôi nghĩ tài khoản của bạn chưa bị xâm phạm