- Dữ liệu của 760.000 người dùng đã bị rò rỉ từ Discord.io, dịch vụ liên kết mời tùy chỉnh cho Discord, và được đưa lên danh sách rao bán trên một diễn đàn dark web; đội ngũ vận hành dịch vụ cũng đã xác nhận vụ xâm phạm
- Qua việc xác minh mẫu dữ liệu, các email bị lộ được xác nhận là có liên kết với tài khoản Discord thực, nên khả năng thiệt hại thực tế cao hơn một lời rao bán suông
- Discord chính thức cho biết không liên kết với Discord.io, đồng thời đã thu hồi OAuth token của những người dùng từng sử dụng Discord.io để chặn quyền của ứng dụng
- Discord.io đã dừng toàn bộ dịch vụ chỉ 10 phút sau khi nhận biết vụ xâm phạm vào ngày 14/8/2023 theo CET, đồng thời hủy cả các gói đăng ký premium hiện có
- Người dùng bị ảnh hưởng nên kiểm tra mật khẩu và bật 2FA, vì dữ liệu bị lộ có thể bị lạm dụng cho phishing, spam và các hoạt động lừa đảo
Discord.io xác nhận rò rỉ và phản ứng của Discord
- Discord.io là nền tảng từng cho phép tạo liên kết mời Discord cá nhân hóa; tại thời điểm đó trang đã ngừng hoạt động và chỉ còn có thể xem qua bản chụp trên Archive.org
- Một cá nhân chưa được xác định đã đăng dữ liệu của 760.000 người dùng Discord.io lên danh sách rao bán trên một diễn đàn dark web; thông tin này được biết đến qua kênh Telegram Information Leaks, liên quan đến dịch vụ theo dõi các tài nguyên trực tuyến về lỗ hổng, rò rỉ dữ liệu và lừa đảo có nguồn gốc từ Nga
- Để chứng minh tính xác thực của dữ liệu, người bán đã đưa ra một mẫu, và các chuyên gia an ninh mạng đánh giá rằng thông tin đăng nhập trong mẫu khớp với người dùng Discord thực
- Việc các địa chỉ email bị lộ có thực sự liên kết với tài khoản Discord hay không đã được xác nhận qua nhiều thử nghiệm khôi phục mật khẩu
- Người phát ngôn chính thức của Discord cho biết Discord không liên kết với Discord.io, không trực tiếp chia sẻ thông tin người dùng với Discord.io và cũng không thể truy cập hoặc kiểm soát thông tin mà Discord.io lưu trữ
- Discord đã thu hồi OAuth token của những người dùng Discord từng sử dụng Discord.io, khiến ứng dụng đó không thể thực hiện hành động thay mặt người dùng cho đến khi họ xác thực lại
- Để bảo vệ tài khoản, Discord khuyến nghị cân nhắc dùng xác thực hai bước và xác thực SMS
Phạm vi xâm phạm và lịch trình dừng dịch vụ
- Đội ngũ Discord.io đã chính thức xác nhận vụ xâm phạm trong một bài đăng trên Discord, đồng thời công bố diễn biến sự việc, dữ liệu bị lộ và các biện pháp tiếp theo
-
Dòng thời gian sự việc
- Thứ Hai, ngày 14/8/2023, 12:51 AM CET: Bản xem trước cơ sở dữ liệu người dùng Discord.io xuất hiện trên BreachForums
- Thứ Hai, ngày 14/8/2023, 4:30 PM CET: Đội ngũ Discord.io nhận biết vụ xâm phạm
- Thứ Hai, ngày 14/8/2023, 4:36 PM CET: Tính xác thực của vụ xâm phạm được xác nhận
- Thứ Hai, ngày 14/8/2023, 4:40 PM CET: Toàn bộ dịch vụ Discord.io bắt đầu ngừng hoạt động
Thông tin bị lộ và các rủi ro còn lại
-
Thông tin nhạy cảm có thể đã bị lộ
- Tên người dùng khi đăng ký hoặc tên người dùng Discord hiện tại
- Discord ID
- Địa chỉ email liên kết với tài khoản
- Địa chỉ thanh toán do một số người dùng cung cấp trước khi tích hợp thanh toán Stripe
- Mật khẩu đã được thêm salt và băm, chủ yếu liên quan đến những người dùng từ trước khi Discord.io chỉ dùng đăng nhập bằng Discord từ năm 2018
-
Thông tin không nhạy cảm đã bị lộ
- ID người dùng nội bộ
- Chi tiết avatar
- Trạng thái người dùng như moderator, admin, has ads, banned, public
- Số dư coin và streak hiện tại trong minigame miễn phí
- API key liên quan đến một số lượng người dùng hạn chế
- Ngày đăng ký, ngày thanh toán gần nhất, ngày hết hạn thành viên premium
-
Dữ liệu vẫn được giữ an toàn và hướng dẫn tiếp theo
- Mọi thông tin không được nêu rõ trong danh sách rò rỉ
- Chi tiết thanh toán được lưu trữ an toàn tại các đối tác Stripe và PayPal
- Discord.io đã hủy toàn bộ gói đăng ký premium hiện có và sẽ liên hệ riêng với các thuê bao
- Tính đến bản cập nhật cuối cùng, đội ngũ Discord.io chưa thể liên hệ với bên gây ra vụ xâm phạm và cũng chưa xác nhận được liệu cơ sở dữ liệu đã bị chia sẻ công khai hay chưa
- Danh sách các máy chủ từng sử dụng dịch vụ Discord.io đã được cung cấp, nhưng có thể bao gồm các liên kết cũ hoặc không còn hoạt động
- Với thắc mắc chung, người dùng có thể gửi yêu cầu tới “Support” trong helpdesk; với vấn đề nhạy cảm thì dùng “Admin”; đội ngũ Discord.io cũng lưu ý rằng họ có thể không trả lời được mọi tin nhắn
- Người dùng nền tảng nên đổi mật khẩu ngay lập tức và bật xác thực hai bước để tăng cường bảo mật tài khoản
1 bình luận
Các ý kiến trên Hacker News
May là vì lo những chuyện như thế này nên tôi đã không dùng trang web đó
Link để vào máy chủ Discord thông qua Discord.io xuất hiện ở các kết quả đầu của Google, và tôi đã bấm vào mà không biết đó là dịch vụ bên thứ ba
Nhưng OAuth hiện màn hình xác nhận rằng “bạn sắp kết nối với dịch vụ bên thứ ba này và cấp quyền truy cập toàn bộ tài khoản”, nên tôi từ chối ngay
Việc đội ngũ pháp lý và ban lãnh đạo Discord hoàn toàn không thẩm định phần này là điều đáng xấu hổ
Vì Discord có thể dễ dàng vô hiệu hóa hoặc thu hồi token, và họ cũng sẽ không có dữ liệu mật khẩu, bất kể có được băm hay không
Tất nhiên, vì tôi không dùng discord.io nên có thể tôi đang bỏ sót điều gì đó
Đăng nhập bằng Google về cơ bản cũng yêu cầu hoặc cung cấp chừng đó, và nếu đòi quyền truy cập nhiều hơn thì trông sẽ bất thường
Để tham khảo, discord.io !== discord.com là ứng dụng chat, chúng có liên quan nhưng là các dịch vụ riêng biệt
Chẳng hạn như các client Reddit bên thứ ba phải đổi tên từ “Reddit Sync” thành “Sync for Reddit”, và cũng không được dùng nhân vật Snoo trong branding
Nhưng trong trường hợp này thì tôi không hiểu vì sao Discord lại thấy kiểu branding này là ổn. Nó lộ liễu trông như một tên miền chính thức thay thế cho dịch vụ của họ
Tìm “what is discord.io” cũng ra khá nhiều bài Reddit bối rối hỏi nó có hợp pháp/an toàn không
Nếu đó là “giao diện bên thứ ba được thiết kế cho trình nhắn tin Discord được dùng rộng rãi” thì tôi nghĩ nó chẳng phải rõ ràng trái với điều khoản sử dụng của Discord sao
Thật ngạc nhiên là Discord không tự tay đóng nó lại
discord.iomà không đủ là lý do để đóng cửa thì cũng đáng ngạc nhiênĐây là phương án thay thế trước khi tính năng như vậy được cung cấp chính thức, tức là trước khi người dùng trả phí phải boost máy chủ mới làm được
Thực ra nó không phải kiểu giao diện bên thứ ba tái tạo lại client Discord. Nếu gần đây không có gì thay đổi
Tôi tự hỏi nếu chưa từng dùng dịch vụ Discord bên thứ ba nào thì có an toàn không
Ban đầu tôi hơi hoảng, nhưng nghĩ xem mình mất gì thì chẳng có gì cả. Không có gì không thể thay thế, cũng không có liên hệ nào đáng để duy trì
Câu hỏi newbie: những trang web nơi dữ liệu kiểu này được đăng là ở đâu? Tôi chưa từng thấy bao giờ
https://discord.io/ đã đổi thành thông báo ngừng hoạt động, và ở đó trực tiếp nhắc đến nơi thông tin xác thực đang được bán. Tìm tên đó trên Google thì nó là kết quả đầu tiên
Thông tin xác thực bị rò rỉ cũng được bán trên các trang web công khai được công cụ tìm kiếm lập chỉ mục. Nó không phải kiểu câu lạc bộ TOR dành riêng cho hacker Anonymous đi qua bốn lớp proxy
Nói thêm, khi Microsoft, Google, Krebs nói về một “APT” “Nga” “cao cấp” mới, thì chín trên mười trường hợp cũng thường là một đứa nào đó đăng bài trên các diễn đàn kiểu này để bán lại thông tin xác thực cũ, một fork của Mirai, hoặc một mối đe dọa hoàn toàn khó tin
Những thứ này kém ngầu hơn rất nhiều so với cách người ta tô vẽ
Cũng có công cụ tìm kiếm xử lý những thứ như vậy, nhưng tôi đoán tỷ lệ lừa đảo so với thật khoảng 99:1. Tôi không biết làm sao xác minh thứ mình thấy là thật
Dù vậy, nếu bạn làm trong mảng an ninh mạng thì chắc chắn đã từng gặp các trang này, và cũng có những trang theo dõi các APT mới nhất được phát hiện cho đến tháng này
Tôi muốn hỏi những người từng dùng discord.io: điểm hấp dẫn hơn discord.gg là gì? Tiếc là trang đã sập nên tôi thậm chí không xem được lời marketing của chính họ
Có thể xem bản lưu trang tại đây: https://web.archive.org/web/20220329132537/https://discord.i...
Khi có cơ sở dữ liệu mà không có trách nhiệm bảo mật dữ liệu thì việc bị xâm nhập là điều tất yếu
Chẳng có gì mới
Làm sao biết tôi có bị ảnh hưởng không? Tôi có dùng Discord nhưng không nhớ mình đã đăng ký thế nào. Có lẽ tôi vào từ kết quả tìm kiếm đầu tiên, cũng có thể là quảng cáo
Dù vậy có thể kiểm tra ở liên kết dưới đây. Người đó được quyên góp rất nhiều gói dữ liệu đã bị crack
https://haveibeenpwned.com/
Google dường như cũng có nhân sự riêng lục lọi các trang onion để mua các gói dữ liệu đã bị crack, rồi đối chiếu với dịch vụ của họ xem có người dùng bị ảnh hưởng hay không
Chừng nào còn dữ liệu thì rò rỉ dữ liệu sẽ còn tiếp diễn
Là người dùng Discord, tôi nên lo lắng đến mức nào?
Nếu bạn không làm vậy thì tôi nghĩ tài khoản của bạn chưa bị xâm phạm