discord.io zaatakowany, stwierdzono poważny wyciek danych
Jeżeli korzystacie z serwisu discord.io do generowania niestandardowych adresów zaproszeń do popularnej usługi komunikacyjnej Discord, to nadszedł właściwy moment by zadbać o zmianę hasła dostępowego do tej usługi. Powód? Atak na discord.io. Dodajmy, skuteczny. Zaznaczam, nie chodzi o Discorda jako takiego, zaatakowano platformę, która nie ma technicznie nic wspólnego z komunikacyjną usługą Discord. Komunikator Discord nie jest powiązany z discord.io.
Na oficjalnym kanale informacyjnym discord.io przeczytać możemy, że serwis wstrzymuje wszelkie operacje w dającej się przewidzieć przyszłości. Powodem takiego stanowczego działania jest przeprowadzony w nocy 14 sierpnia atak na bazę danych tej usługi. Atak okazał się skuteczny, serwis doznał poważnego wycieku danych, niestety wciąż nie wiadomo, ile dokładnie danych wyciekło, a także gdzie wykradzione dane trafiły.
discord.io w oficjalnym komunikacie przyznaje, że wciąż prowadzone jest dochodzenie w sprawie wycieku. Co wiemy? Wiadomo przynajmniej jakiego typu dane padły ofiarą agresorów. Oto lista typów danych, jakie wyciekły:
- Wewnętrzny identyfikator użytkownika discord.io.
- Informacje o awatarze użytkownika.
- Status użytkownika (admin, moderator, publiczny, zbanowany itp.).
- Saldo monet i aktualny stan w minigrze na discord.io.
- Klucz API użytkownika (uwaga! Klucz API nie daje dostępu do konta, taki klucz posiadało mniej niż tuzin użytkowników).
- Data rejestracji konta użytkownika w discord.io.
- Ostatnia data płatności i data wygaśnięcia członkostwa premium.
Ogólnie atak to zła wiadomość, ale jest też dobra w tym nieszczęściu. Nawet jeżeli agresorzy dostali się do haseł, to po pierwsze, problem dotyczy relatywnie niewielkiej liczby użytkowników, którzy korzystali ze starszej metody uwierzytelniania i założyli konto przed 2018 rokiem. Po drugie, ważniejsze, hasła nawet jeżeli wyciekły, pozostają w postaci zaszyfrowanej i są zasolone. W branży cyberbezpieczeństwa solenie haseł to technika wykorzystywania losowych danych do funkcji skrótu, co pozwala chronić zaszyfrowaną bazę haseł przed atakami słownikowymi.
Konsekwencją ataku na discord.io jest również anulowanie wszelkich usług premium, osoby, które wykupiły subskrypcję w ciągu ostatnich 30 dni, otrzymają pełną kwotę zwrotu miesięcznej subskrypcji. W celu uzyskania zwrotu należy skontaktować się z zespołem Discord.io pod mailem support@discord.io podając swoją nazwę użytkownika i adres e-mail używany do dokonania zakupu.
Jeszcze raz podkreślam. discord.io i komunikator Discord to dwie, zupełnie różne rzeczy. Komunikator działa bez zmian, atak przeprowadzono na niezależną od niego platformę.
