Θύμα κυβερνοεπίθεσης έπεσε ο ιστότοπος Discord.io, με αποτέλεσμα τη διαρροή προσωπικών δεδομένων εκατομμυρίων χρηστών (usernames, emails, passwords και άλλα ευαίσθητα προσωπικά δεδομένα). Η εταιρεία ανέστειλε προσωρινά τη λειτουργία του ιστοτόπου και ενημέρωσε τους χρήστες της για τη διαρροή και για τα βήματα που πρέπει να ακολουθήσουν για να προστατεύσουν τα δεδομένα τους.
Η Discord είναι μια υπηρεσία ανταλλαγής μηνυμάτων που χρησιμοποιείται κυρίως από παίκτες ηλεκτρονικών παιχνιδιών. Έχει σχεδιαστεί για να είναι γρήγορη και εύκολη στη χρήση, και προσφέρει μια ποικιλία χαρακτηριστικών που την καθιστούν ιδανική για την επικοινωνία μεταξύ παικτών. Η Discord είναι διαθέσιμη ως εφαρμογή λογισμικού για υπολογιστές και κινητά τηλέφωνα, καθώς και ως υπηρεσία ιστού.
Αναλυτικά η ανακοίνωση της εταιρείας
“Την νύχτα της 14ης Αυγούστου 2023, η Discord.io υπέστη μια μεγάλη διαρροή δεδομένων, με αποτέλεσμα περιεχόμενο από τη βάση δεδομένων μας να διαρρεύσει. Γίναμε ενήμεροι για τη διαρροή αργότερα μέσα στην ημέρα, και αφού επιβεβαιώσαμε το περιεχόμενο της διαρροής, αποφασίσαμε να διακόψουμε όλες τις υπηρεσίες και τις λειτουργίες μας.
Τι συνέβη; Ερευνούμε ακόμα τη διαρροή, αλλά πιστεύουμε ότι η διαρροή προκλήθηκε από μια ευπάθεια στον κώδικα του ιστότοπού μας, η οποία επέτρεψε σε έναν επιτιθέμενο να αποκτήσει πρόσβαση στη βάση δεδομένων μας. Ο επιτιθέμενος στη συνέχεια προχώρησε στη λήψη ολόκληρης της βάσης δεδομένων και την έβαλε προς πώληση σε ιστότοπο τρίτου μέρους.
Ποια δεδομένα διέρρευσαν;
Μη ευαίσθητες πληροφορίες σχετικά με τον λογαριασμό σας:
- Το εσωτερικό σας αναγνωριστικό χρήστη
- Πληροφορίες σχετικά με το avatar σας
- Την κατάστασή σας (moderator/admin/έχει διαφημίσεις/απαγορευμένο/δημόσιο/κλπ)
- Το υπόλοιπο των νομισμάτων σας και την τρέχουσα σειρά σας στο δωρεάν μίνι παιχνίδι μας.
- Το κλειδί API σας (αυτό δεν δίνει πρόσβαση στον λογαριασμό σας και ήταν διαθέσιμο σε λιγότερο από δώδεκα χρήστες).
- Η ημερομηνία εγγραφής σας.
- Η τελευταία ημερομηνία πληρωμής και η ημερομηνία λήξης της premium συνδρομής σας.
Πιθανώς ευαίσθητες πληροφορίες σχετικά με τον λογαριασμό σας:
- Το όνομα χρήστη σας
- Είτε αυτό που δώσατε κατά την εγγραφή, είτε, για τους περισσότερους από εσάς, το τρέχον όνομα χρήστη σας στο Discord.
- Το Discord ID σας
- Αυτή η πληροφορία δεν είναι ιδιωτική και μπορεί να ληφθεί από οποιονδήποτε μοιράζεται έναν διακομιστή μαζί σας. Η συμπερίληψη του στη διαρροή σημαίνει, ωστόσο, ότι άλλοι άνθρωποι μπορεί να είναι σε θέση να συνδέσουν τον λογαριασμό σας Discord με μια δεδομένη διεύθυνση email.
- Η διεύθυνση email σας
- Είτε αυτό που δώσατε κατά την εγγραφή, είτε, για τους περισσότερους από εσάς, η τρέχουσα διεύθυνση email σας στο Discord.
- Η διεύθυνση χρέωσής σας
- Αυτό θα πρέπει να αφορά μόνο ένα μικρό αριθμό ατόμων και αντιστοιχεί στη διεύθυνση χρέωσης που μας δώσατε για να πραγματοποιήσετε μια αγορά στον ιστότοπό μας πριν αρχίσουμε να χρησιμοποιούμε το Stripe.
- Ο salted και hashed κωδικός πρόσβασής σας
- Αυτό θα πρέπει να αφορά μόνο ένα μικρό αριθμό ατόμων πριν αρχίσουμε να προσφέρουμε αποκλειστικά το Discord ως επιλογή σύνδεσης (αρχίζοντας το 2018). Ενώ ο κωδικός πρόσβασής σας ήταν κρυπτογραφημένος σύμφωνα με τα βιομηχανικά πρότυπα, εάν δεν ήταν μοναδικός, σας προτρέπουμε να τον ενημερώσετε σε οποιονδήποτε άλλο ιστότοπο όπου μπορεί να είναι παρόμοιος.
Η Discord.io δεν αποθηκεύει καμία πληροφορία πληρωμής και όλες οι πληρωμές διεκπεραιώνονται μέσω PayPal και Stripe. Δεν αποθηκεύουμε καμία πληροφορία πληρωμής στους διακομιστές μας και αυτή η πληροφορία δεν διέρρευσε.
Τι κάνουμε γι’ αυτό;
Έχουμε αποφασίσει να κατεβάσουμε τον ιστότοπό μας μέχρι νεωτέρας.
Θα συνεχίσουμε να διερευνούμε τις πιθανές αιτίες της διαρροής και θα λάβουμε μέτρα για να διασφαλίσουμε ότι αυτό δεν θα συμβεί ξανά. Αυτό θα περιλαμβάνει μια πλήρη αναδιαγραφή του κώδικα του ιστότοπού μας, καθώς και μια πλήρη αναθεώρηση των πρακτικών ασφαλείας μας.
Τι πρέπει να κάνετε;
Επειδή αποθηκεύσαμε μόνο το αναγνωριστικό χρήστη Discord σας και όχι το αναγνωριστικό σύνδεσης Discord σας, δεν χρειάζεται να αλλάξετε τον κωδικό πρόσβασής σας ή να λάβετε άλλη ενέργεια στο Discord.
Ωστόσο, εάν εγγραφήκατε στον ιστότοπό μας από πριν το 2018, χρησιμοποιώντας την προηγούμενη εγγραφή ονόματος χρήστη/κωδικού πρόσβασης, σας προτρέπουμε να αλλάξετε τον κωδικό πρόσβασής σας.”
Η διαρροή δεδομένων της Discord ήταν μια υπενθύμιση της σημασίας της ασφάλειας των δεδομένων. Οι εταιρείες που συλλέγουν προσωπικά δεδομένα θα πρέπει να λαμβάνουν όλα τα απαραίτητα μέτρα για να προστατεύσουν τα δεδομένα αυτά από παραβίαση. Οι χρήστες θα πρέπει επίσης να είναι προσεκτικοί με τα προσωπικά δεδομένα που μοιράζονται online.
Πηγή: cyb3r.gr