Discord.io Dibobol, 760 Ribu Akun Pengguna Dijual di Darknet
(stackdiary.com)- Data 760.000 pengguna bocor dari layanan tautan undangan kustom Discord.io dan muncul dalam daftar penjualan di forum darknet, sementara tim operasional layanan juga mengonfirmasi adanya pelanggaran
- Verifikasi sampel menunjukkan email yang bocor memang terhubung ke akun Discord nyata, sehingga kemungkinan dampaknya lebih besar daripada sekadar klaim biasa
- Discord resmi menyatakan tidak berafiliasi dengan Discord.io, dan telah mencabut token OAuth milik pengguna yang memakai Discord.io untuk memblokir izin aplikasi tersebut
- Discord.io menutup seluruh layanan 10 menit setelah menyadari pelanggaran pada 14 Agustus 2023 waktu CET, serta membatalkan seluruh langganan premium yang ada
- Pengguna yang terdampak perlu memeriksa kata sandi dan mengaktifkan 2FA, karena data yang bocor dapat disalahgunakan untuk phishing, spam, dan aktivitas penipuan
Konfirmasi kebocoran Discord.io dan respons Discord
- Discord.io adalah platform yang memungkinkan pembuatan tautan undangan Discord pribadi yang dapat dikustomisasi; saat itu situsnya sudah dimatikan dan hanya bisa dilihat melalui snapshot Archive.org
- Seorang pihak yang belum teridentifikasi memasang data 760.000 pengguna Discord.io untuk dijual di forum darknet, dan kabar ini terungkap melalui kanal Telegram Information Leaks yang terkait dengan layanan pelacakan sumber daya online Rusia seputar kerentanan, kebocoran data, dan penipuan
- Penjual menunjukkan sampel untuk membuktikan keaslian data, dan para pakar keamanan siber menilai informasi login dalam sampel itu cocok dengan pengguna Discord yang nyata
- Apakah alamat email yang bocor benar-benar terhubung ke akun Discord nyata dikonfirmasi melalui beberapa pengujian pemulihan kata sandi
- Juru bicara resmi Discord menyatakan bahwa Discord tidak berafiliasi dengan Discord.io, tidak membagikan informasi pengguna secara langsung ke Discord.io, serta tidak dapat mengakses atau mengendalikan informasi yang disimpan oleh Discord.io
- Discord mencabut token OAuth milik pengguna Discord yang memakai Discord.io, sehingga aplikasi tersebut tidak lagi bisa bertindak atas nama pengguna sampai pengguna melakukan autentikasi ulang
- Sebagai langkah perlindungan akun, pengguna disarankan meninjau autentikasi dua langkah dan verifikasi SMS
Cakupan pelanggaran dan jadwal penghentian layanan
- Tim Discord.io secara resmi mengonfirmasi pelanggaran tersebut dan mengungkap kronologi insiden, data yang bocor, serta langkah lanjutan
-
Linimasa insiden
- Senin, 14 Agustus 2023 12:51 AM CET: pratinjau basis data pengguna Discord.io muncul di BreachForums
- Senin, 14 Agustus 2023 4:30 PM CET: tim Discord.io menyadari adanya pelanggaran
- Senin, 14 Agustus 2023 4:36 PM CET: keaslian pelanggaran dikonfirmasi
- Senin, 14 Agustus 2023 4:40 PM CET: seluruh layanan Discord.io mulai dimatikan
Informasi yang bocor dan risiko yang masih tersisa
-
Informasi bocor yang berpotensi sensitif
- nama pengguna saat pendaftaran atau nama pengguna Discord saat ini
- Discord ID
- alamat email yang terhubung ke akun
- alamat penagihan yang diberikan oleh sebagian pengguna sebelum penerapan pembayaran Stripe
- kata sandi yang di-salt dan di-hash, terutama terkait pengguna sebelum Discord.io hanya menggunakan login Discord sejak 2018
-
Informasi non-sensitif yang bocor
- ID pengguna internal
- detail avatar
- status pengguna seperti moderator, admin, has ads, banned, public
- saldo koin dan streak saat ini untuk minigame gratis
- API key yang terkait dengan sejumlah pengguna terbatas
- tanggal pendaftaran, tanggal pembayaran terakhir, dan tanggal kedaluwarsa keanggotaan premium
-
Data yang tetap aman dan panduan lanjutan
- semua informasi yang tidak secara eksplisit tercantum dalam daftar kebocoran
- detail pembayaran yang disimpan dengan aman oleh mitra Stripe dan PayPal
- Discord.io membatalkan seluruh langganan premium yang ada dan akan menghubungi para pelanggan secara individual
- Hingga pembaruan terakhir, tim Discord.io belum dapat menghubungi pihak pelaku pelanggaran dan juga belum dapat memastikan apakah basis data tersebut sudah dibagikan secara publik
- Daftar server yang pernah menggunakan layanan Discord.io telah disediakan, tetapi bisa saja memuat tautan yang sudah lama atau tidak aktif
- Untuk pertanyaan umum, pengguna dapat menghubungi “Support” di helpdesk, sedangkan isu sensitif dapat diajukan ke “Admin”; tim Discord.io juga mengingatkan bahwa mereka mungkin tidak dapat membalas semua pesan
- Pengguna platform harus segera mengganti kata sandi dan mengaktifkan autentikasi dua langkah untuk memperkuat keamanan akun
1 komentar
Komentar Hacker News
Untungnya, karena khawatir hal seperti ini bisa terjadi, saya tidak memakai situs web ini.
Tautan untuk masuk ke server Discord lewat Discord.io muncul sebagai hasil teratas di Google, dan saya mengekliknya tanpa tahu bahwa itu layanan pihak ketiga.
Namun OAuth menampilkan layar konfirmasi yang mengatakan “Anda akan menghubungkan layanan pihak ketiga ini dan memberinya akses penuh ke akun”, jadi saya langsung menolaknya.
Memalukan bahwa tim hukum dan manajemen Discord sama sekali tidak melakukan uji tuntas soal hal seperti ini.
Discord bisa dengan mudah membatalkan atau mencabut token, dan mereka juga tidak akan memiliki data kata sandi, terlepas dari apakah kata sandinya di-hash atau tidak.
Tentu saja, karena saya tidak memakai discord.io, mungkin ada sesuatu yang saya lewatkan.
Login Google juga secara default hanya meminta atau menyediakan hal kurang lebih seperti itu, dan kalau meminta akses lebih dari itu, kelihatannya tidak wajar.
Sebagai catatan, discord.io !== discord.com, aplikasi chat itu; keduanya terkait, tetapi merupakan layanan terpisah.
Misalnya, klien Reddit pihak ketiga harus mengganti nama dari “Reddit Sync” menjadi “Sync for Reddit”, dan karakter Snoo juga tidak boleh dipakai dalam branding.
Namun dalam kasus ini, saya tidak mengerti mengapa Discord menganggap branding seperti ini baik-baik saja. Ini tampak sangat terang-terangan seperti domain resmi alternatif untuk layanan mereka.
Jika mencari “what is discord.io”, ada cukup banyak posting Reddit yang membingungkan yang menanyakan apakah situs itu legit/aman.
Kalau itu adalah “antarmuka pihak ketiga yang disesuaikan untuk messenger Discord yang banyak dipakai”, rasanya itu secara eksplisit bertentangan dengan Ketentuan Layanan Discord.
Saya heran Discord tidak menutupnya sendiri.
discord.iosaja belum cukup menjadi alasan untuk menutupnya.Ini adalah alternatif sebelum fitur seperti itu disediakan secara resmi, yaitu sebelum pengguna berbayar harus melakukan boost server agar bisa mendapatkannya.
Sebenarnya itu bukan semacam antarmuka pihak ketiga yang mereplikasi klien Discord. Kecuali kalau baru-baru ini berubah.
Saya bertanya-tanya apakah saya aman kalau tidak pernah memakai layanan Discord pihak ketiga.
Sempat takut sebentar, tetapi setelah memikirkan apa yang bisa hilang, ternyata tidak ada. Tidak ada yang tak tergantikan, dan tidak ada kontak yang layak dipertahankan.
Pertanyaan pemula: situs web tempat data seperti ini dipublikasikan itu apa saja? Saya belum pernah melihatnya.
https://discord.io/ sudah berubah menjadi pengumuman penutupan, dan di sana mereka langsung menyebutkan di mana kredensial itu dijual. Kalau mencari nama itu di Google, hasil pertama akan muncul.
Kredensial yang bocor juga dijual di situs web publik yang diindeks mesin pencari. Ini bukan semacam klub TOR khusus hacker Anonymous dengan empat lapis proxy.
Sebagai tambahan, ketika Microsoft, Google, atau Krebs membicarakan “APT” “Rusia” “canggih” yang baru, sembilan dari sepuluh kasus biasanya hanyalah anak yang memposting di forum seperti ini sedang menjual kembali kredensial lama, fork Mirai, atau ancaman yang sama sekali sulit dipercaya.
Hal-hal seperti ini jauh kurang keren daripada kemasan yang dibuat orang-orang.
Ada juga mesin pencari yang menangani hal seperti itu, tetapi rasio penipuan dan yang asli sepertinya sekitar 99:1. Saya tidak tahu bagaimana cara memverifikasi apakah yang dilihat itu asli.
Namun kalau Anda berkecimpung di bidang keamanan siber, Anda pasti pernah menemukan situs-situs seperti ini, dan ada juga situs yang membahas APT terbaru yang ditemukan sampai bulan ini.
Saya ingin bertanya kepada orang-orang yang pernah memakai discord.io: apa daya tariknya dibanding discord.gg? Sayangnya situsnya sudah turun, jadi bahkan teks marketing mereka sendiri tidak bisa dilihat.
Arsip situsnya bisa dilihat di sini: https://web.archive.org/web/20220329132537/https://discord.i...
Kalau ada database dan tidak ada tanggung jawab keamanan data, pelanggaran pasti akan terjadi.
Tidak ada yang baru.
Bagaimana cara mengetahui apakah saya terdampak? Saya memang memakai Discord, tetapi tidak ingat bagaimana saya mendaftar. Mungkin saya masuk lewat hasil pencarian pertama, atau mungkin lewat iklan.
Namun Anda bisa mengeceknya di tautan di bawah. Orang itu menerima banyak sumbangan kumpulan data yang sudah di-crack.
https://haveibeenpwned.com/
Google juga tampaknya memiliki staf sendiri yang menyisir situs onion, membeli kumpulan data yang sudah di-crack, lalu mencocokkannya dengan layanan mereka untuk melihat apakah ada pengguna yang terdampak.
Selama ada data, kebocoran data juga akan terus ada.
Sebagai pengguna Discord, seberapa khawatir saya harusnya?
Kalau tidak pernah melakukannya, saya rasa akun Anda tidak diretas.