1 points par GN⁺ 2023-08-15 | 1 commentaires | Partager sur WhatsApp
  • Le service de liens d’invitation personnalisés Discord.io a subi une fuite de données touchant 760 000 utilisateurs, désormais proposés à la vente sur un forum du dark web, et l’équipe du service a également confirmé l’intrusion
  • La vérification d’un échantillon a confirmé que les e-mails divulgués étaient bien liés à de vrais comptes Discord, ce qui rend la possibilité de dommages réels plus crédible qu’une simple allégation
  • Discord a précisé n’avoir aucun partenariat avec Discord.io et a révoqué les tokens OAuth des utilisateurs passés par Discord.io afin de bloquer les autorisations de l’application
  • Discord.io a arrêté tous ses services le 14 août 2023 après avoir pris connaissance de l’intrusion, et a aussi annulé tous les abonnements premium existants
  • Les utilisateurs concernés doivent vérifier leurs mots de passe et activer la 2FA, car les données divulguées peuvent être exploitées pour du phishing, du spam ou d’autres activités trompeuses

Confirmation de la fuite chez Discord.io et réponse de Discord

  • Discord.io était une plateforme permettant de créer des liens d’invitation Discord personnalisés ; le site était alors hors ligne et ne pouvait plus être consulté qu’à travers un instantané Archive.org
  • Une personne non identifiée a mis en vente sur un forum du dark web les données de 760 000 utilisateurs de Discord.io, une information relayée par le canal Telegram Information Leaks, lié au suivi de ressources en ligne russes portant sur les vulnérabilités, les fuites de données et les fraudes
  • Pour prouver l’authenticité des données, le vendeur a fourni un échantillon, et des experts en cybersécurité ont estimé que les identifiants de connexion de cet échantillon correspondaient à de vrais utilisateurs Discord
    • Le fait que les adresses e-mail divulguées soient bien reliées à de vrais comptes Discord a été vérifié à l’aide de plusieurs tests de récupération de mot de passe
  • Un porte-parole de Discord a indiqué que Discord n’était pas partenaire de Discord.io, ne partageait pas directement les informations des utilisateurs avec Discord.io, et n’avait ni accès ni contrôle sur les données conservées par Discord.io
  • Discord a révoqué les tokens OAuth des utilisateurs Discord ayant utilisé Discord.io, empêchant ainsi l’application d’agir en leur nom tant qu’ils ne se réauthentifient pas
  • Comme mesure de protection des comptes, l’activation de l’authentification à deux facteurs et l’examen de la vérification par SMS sont recommandés

Étendue de la compromission et calendrier d’arrêt du service

  • L’équipe de Discord.io a officiellement confirmé l’intrusion sur Discord et a publié le déroulé de l’incident, les données exposées et les mesures prises ensuite
  • Chronologie de l’incident

    • Lundi 14 août 2023, 12:51 AM CET : un aperçu de la base de données utilisateurs de Discord.io apparaît sur BreachForums
    • Lundi 14 août 2023, 4:30 PM CET : l’équipe Discord.io prend connaissance de l’intrusion
    • Lundi 14 août 2023, 4:36 PM CET : l’authenticité de l’intrusion est confirmée
    • Lundi 14 août 2023, 4:40 PM CET : l’arrêt de tous les services Discord.io commence

Informations divulguées et risques persistants

  • Informations potentiellement sensibles divulguées

    • Nom d’utilisateur à l’inscription ou nom d’utilisateur Discord actuel
    • ID Discord
    • Adresse e-mail liée au compte
    • Adresse de facturation fournie par certains utilisateurs avant l’intégration des paiements Stripe
    • Mots de passe saltés et hashés, principalement pour les utilisateurs inscrits depuis 2018 avant que Discord.io ne passe exclusivement à la connexion via Discord
  • Informations non sensibles divulguées

    • ID utilisateur interne
    • Détails de l’avatar
    • Statuts utilisateur comme moderator, admin, has ads, banned, public
    • Solde de pièces et série en cours d’un mini-jeu gratuit
    • Clés API concernant un nombre limité d’utilisateurs
    • Date d’inscription, date du dernier paiement, date d’expiration de l’abonnement premium
  • Données restées protégées et consignes de suivi

    • Toutes les informations non mentionnées dans la liste de fuite
    • Les détails de paiement stockés de manière sécurisée chez les partenaires Stripe et PayPal
    • Discord.io a annulé tous les abonnements premium existants et prévoit de contacter individuellement les abonnés
    • Lors de la dernière mise à jour, l’équipe Discord.io n’avait pas réussi à entrer en contact avec l’auteur de l’intrusion et n’avait pas non plus pu confirmer si la base de données avait été partagée publiquement
    • Une liste des serveurs ayant utilisé le service Discord.io a été fournie, mais elle peut contenir des liens anciens ou inactifs
    • Pour les demandes générales, il est possible d’utiliser « Support » dans le helpdesk, et pour les sujets sensibles, « Admin » ; l’équipe Discord.io précise qu’elle ne pourra pas répondre à tous les messages
    • Les utilisateurs de la plateforme doivent changer immédiatement leur mot de passe et activer l’authentification à deux facteurs pour renforcer la sécurité de leur compte

1 commentaires

 
GN⁺ 2023-08-15
Avis sur Hacker News
  • Heureusement, je n’ai pas utilisé ce site justement parce que ce genre de chose m’inquiétait.
    Un lien pour rejoindre un serveur Discord via Discord.io apparaissait dans les premiers résultats Google, et j’ai cliqué sans savoir que c’était un service tiers.
    Mais OAuth m’a affiché un écran de confirmation disant en gros « vous êtes sur le point de vous connecter à ce service tiers et de lui donner un accès complet à votre compte », donc j’ai immédiatement refusé.
    Il est honteux que l’équipe juridique et la direction de Discord n’aient fait aucune diligence raisonnable à ce sujet.

    • Si Discord a laissé ce site utiliser cette marque pendant longtemps, je me demande s’ils ne risquent pas aussi de perdre leurs droits sur la marque pour dilution de marque, faute de l’avoir fait respecter.
    • Si Discord.io utilisait OAuth, alors ce n’était probablement pas un si gros problème.
      Discord peut facilement invalider ou révoquer les jetons, et le service n’aurait pas eu les données de mot de passe, hachées ou non.
      Cela dit, comme je n’ai pas utilisé discord.io, il y a peut-être quelque chose qui m’échappe.
    • Je me demande si Discord donne réellement d’autres droits d’accès que la connaissance de l’adresse e-mail, de la photo de compte et du nom.
      La connexion Google demande ou fournit aussi essentiellement cela par défaut, et demander davantage d’accès paraît suspect.
  • Pour info, discord.io !== discord.com, l’app de chat ; c’est un service lié, mais distinct.

    • En général, je trouve un peu pénible que les produits tiers destinés à un produit donné doivent suivre des consignes de marque strictes pour ne pas avoir l’air officiels.
      Par exemple, les clients Reddit tiers ont dû changer de nom, de « Reddit Sync » à « Sync for Reddit », et n’ont plus eu le droit d’utiliser le personnage Snoo dans leur branding.
      Mais dans ce cas précis, je ne comprends pas pourquoi Discord a trouvé ce branding acceptable. Cela ressemble franchement à un domaine officiel alternatif pour son propre service.
      Si l’on cherche « what is discord.io », on trouve pas mal de posts Reddit confus demandant si c’est legit/safe.
    • Et discord.com !== discordapp.com, ni discord.gg d’ailleurs.
  • S’il s’agit d’une interface tierce conçue pour la messagerie Discord très utilisée, j’ai l’impression que cela va explicitement à l’encontre des conditions d’utilisation de Discord.
    Je suis surpris que Discord ne l’ait pas fermé directement.

    • Je suis surpris que le seul domaine discord.io n’ait pas suffi comme motif de fermeture.
    • C’était surtout un moyen pour les serveurs non partenaires d’avoir un lien d’invitation permanent et facile à lire.
      C’était une alternative avant que cette fonctionnalité ne soit proposée officiellement, c’est-à-dire avant qu’il ne faille que des utilisateurs payants boostent le serveur pour y avoir droit.
      Ce n’était pas vraiment une interface tierce reproduisant le client Discord. Sauf si cela a changé récemment.
  • Je me demande si je suis en sécurité si je n’ai jamais utilisé de service Discord tiers.
    J’ai eu peur un instant, mais en réfléchissant à ce que je pourrais perdre, rien. Rien d’irremplaçable, et aucun contact qui mérite vraiment d’être conservé.

    • Si quelqu’un accède au compte, il peut lire tous les messages et probablement se faire passer pour moi.
  • Question de débutant : quels sont les sites où ce genre de données est publié ? Je n’en ai jamais vu.

    • Je ne comprends pas pourquoi toutes les autres réponses jouent les mystérieuses et font du roleplay.
      https://discord.io/ a été remplacé par un avis de fermeture, et celui-ci mentionne directement où les identifiants sont vendus. En cherchant ce nom sur Google, c’est le premier résultat.
      Les identifiants divulgués sont aussi vendus sur des sites web publics indexés par les moteurs de recherche. Ce n’est pas une sorte de club TOR réservé aux hackers Anonymous passant par quatre proxys.
      À cela j’ajouterais que lorsque Microsoft, Google ou Krebs parlent d’un nouveau groupe « avancé », « russe », « APT », neuf fois sur dix il s’agit souvent d’un gamin qui poste sur ce genre de forum pour revendre de vieux identifiants, d’un fork de Mirai, ou d’une menace pas fiable du tout.
      Ces choses sont bien moins cool que ce que les gens en font.
    • Il existe plusieurs forums du darknet. Évidemment, ils ne seront pas sur le web classique.
      Il existe aussi des moteurs de recherche qui couvrent ce genre de choses, mais le ratio arnaques/vrai doit être d’environ 99:1. Je ne sais pas comment vérifier que ce que l’on voit est authentique.
    • J’ai un répertoire de la plupart de ces sites, mais évidemment je ne vais pas le publier sous mon vrai nom.
      Cela dit, si vous travaillez dans la cybersécurité, vous avez forcément déjà croisé ces sites, et certains couvrent même les derniers APT découverts jusqu’à ce mois-ci.
  • J’aimerais demander à ceux qui utilisaient discord.io : quel était l’intérêt par rapport à discord.gg ? Malheureusement, le site est hors ligne, donc on ne peut même pas voir son propre argumentaire marketing.

  • Quand il y a une base de données et aucune responsabilité en matière de sécurité des données, les compromissions finissent forcément par arriver.
    Rien de nouveau.

  • Comment savoir si je suis concerné ? J’utilise Discord, mais je ne me souviens plus comment je me suis inscrit. Je suis probablement passé par le premier résultat de recherche, mais c’était peut-être une pub.

    • Ce n’est pas l’app/le site principal de Discord, donc vous n’êtes probablement pas concerné.
      Vous pouvez quand même vérifier via le lien ci-dessous. Cette personne reçoit beaucoup de lots de données compromises en donation.
      https://haveibeenpwned.com/
      Google semble aussi avoir sa propre équipe qui parcourt les sites onion pour acheter des lots de données compromises et les comparer à ses services afin de vérifier s’il y a des utilisateurs concernés.
  • Tant qu’il y aura des données, il y aura aussi des fuites de données.

  • En tant qu’utilisateur de Discord, à quel point devrais-je m’inquiéter ?

    • Il semble qu’il fallait avoir lié son compte Discord à une application séparée liée à Discord.
      Si vous ne l’avez pas fait, je pense que votre compte n’a pas été compromis.