- Beim Dienst für benutzerdefinierte Einladungslinks Discord.io wurden Daten von 760.000 Nutzern offengelegt und in einem Darknet-Forum zum Verkauf angeboten; auch das Betriebsteam des Dienstes bestätigte die Kompromittierung
- Eine Prüfung von Stichproben bestätigte, dass die geleakten E-Mail-Adressen mit echten Discord-Konten verknüpft sind, wodurch die Wahrscheinlichkeit realer Schäden über eine bloße Behauptung hinaus steigt
- Das offizielle Discord erklärte, nicht mit Discord.io verbunden zu sein, und widerrief die OAuth-Tokens von Nutzern, die Discord.io verwendet hatten, um die App-Berechtigungen zu blockieren
- Discord.io stellte am 14. August 2023 CET zehn Minuten nach Erkennen des Vorfalls alle Dienste ein und kündigte auch bestehende Premium-Abonnements
- Betroffene Nutzer sollten ihre Passwörter überprüfen und 2FA aktivieren, da die geleakten Daten für Phishing, Spam und täuschende Aktivitäten missbraucht werden könnten
Bestätigtes Leck bei Discord.io und Reaktion von Discord
- Discord.io war eine Plattform zum Erstellen benutzerdefinierter persönlicher Discord-Einladungslinks; die Website war zu diesem Zeitpunkt bereits offline und nur noch über einen Archive.org-Snapshot einsehbar
- Eine unbestätigte Person stellte die Daten von 760.000 Discord.io-Nutzern in einem Darknet-Forum zum Verkauf ein; bekannt wurde dies über den Information Leaks Telegram-Kanal, der mit einem russisch basierten Dienst zur Verfolgung von Schwachstellen, Datenlecks und betrügerischen Online-Ressourcen in Verbindung steht
- Der Verkäufer legte Stichproben vor, um die Echtheit der Daten zu belegen, und Cybersecurity-Experten bewerteten die enthaltenen Login-Informationen als mit echten Discord-Nutzern übereinstimmend
- Ob die geleakten E-Mail-Adressen mit echten Discord-Konten verknüpft sind, wurde durch mehrere Passwort-Wiederherstellungstests überprüft
- Ein Sprecher von Discord erklärte, dass Discord nicht mit Discord.io verbunden sei, keine Nutzerinformationen direkt an Discord.io weitergebe und keinen Zugriff auf oder Kontrolle über die von Discord.io gespeicherten Informationen habe
- Discord widerrief die OAuth-Tokens von Discord-Nutzern, die Discord.io verwendet hatten, sodass die App nicht mehr im Namen der Nutzer handeln kann, bis diese sich erneut authentifizieren
- Als Maßnahme zum Kontoschutz wurde empfohlen, Zwei-Faktor-Authentifizierung und SMS-Authentifizierung zu prüfen
Umfang des Vorfalls und Zeitplan der Abschaltung
- Das Team von Discord.io bestätigte den Vorfall offiziell auf Discord und veröffentlichte den Ablauf des Ereignisses, die geleakten Daten und die Folgemaßnahmen
-
Zeitachse des Vorfalls
- Montag, 14. August 2023, 12:51 AM CET: Eine Vorschau der Discord.io-Benutzerdatenbank erschien auf BreachForums
- Montag, 14. August 2023, 4:30 PM CET: Das Discord.io-Team bemerkte die Kompromittierung
- Montag, 14. August 2023, 4:36 PM CET: Die Echtheit des Vorfalls wurde bestätigt
- Montag, 14. August 2023, 4:40 PM CET: Die Abschaltung aller Discord.io-Dienste begann
Geleakte Informationen und verbleibende Risiken
-
Potenziell sensible geleakte Informationen
- Benutzername bei der Registrierung oder aktueller Discord-Benutzername
- Discord-ID
- Mit dem Konto verknüpfte E-Mail-Adresse
- Rechnungsadresse, die einige Nutzer vor der Einführung von Stripe-Zahlungen angegeben hatten
- Gesalzene und gehashte Passwörter, vor allem von Nutzern aus der Zeit seit 2018, bevor Discord.io ausschließlich Discord-Login verwendete
-
Geleakte nicht sensible Informationen
- Interne Benutzer-ID
- Avatar-Details
- Benutzerstatus wie moderator, admin, has ads, banned, public
- Münzsaldo und aktuelle Streak in kostenlosen Minispielen
- API-Schlüssel, die eine begrenzte Zahl von Nutzern betreffen
- Registrierungsdatum, letztes Zahlungsdatum, Ablaufdatum der Premium-Mitgliedschaft
-
Sicher gebliebene Daten und weitere Hinweise
- Alle Informationen, die nicht ausdrücklich in der Leckliste genannt wurden
- Zahlungsdetails, die sicher bei den Partnern Stripe und PayPal gespeichert sind
- Discord.io kündigte alle bestehenden Premium-Abonnements und will Abonnenten einzeln kontaktieren
- Zum Zeitpunkt des letzten Updates hatte das Discord.io-Team keinen Kontakt zur verantwortlichen Partei herstellen können und konnte auch nicht bestätigen, ob die Datenbank öffentlich weiterverbreitet wurde
- Es wurde eine Liste der Server bereitgestellt, die den Dienst Discord.io verwendet hatten; sie kann jedoch veraltete oder inaktive Links enthalten
- Für allgemeine Anfragen kann über das Helpdesk „Support“, für sensible Angelegenheiten „Admin“ kontaktiert werden; das Team von Discord.io wies darauf hin, dass möglicherweise nicht auf alle Nachrichten geantwortet werden kann
- Nutzer der Plattform sollten sofort ihr Passwort ändern und Zwei-Faktor-Authentifizierung aktivieren, um die Kontosicherheit zu erhöhen
1 Kommentare
Meinungen auf Hacker News
Zum Glück habe ich diese Website nicht genutzt, weil ich genau solche Dinge befürchtet habe.
Ein Link, um über Discord.io einem Discord-Server beizutreten, stand weit oben in den Google-Ergebnissen, und ich klickte darauf, ohne zu wissen, dass es ein Drittanbieter-Dienst war.
Dann zeigte OAuth aber einen Bestätigungsbildschirm an, der sinngemäß sagte: „Du bist dabei, diesen Drittanbieter-Dienst zu verbinden und ihm vollständigen Zugriff auf dein Konto zu geben“, also habe ich sofort abgelehnt.
Es ist beschämend, dass Discords Rechtsabteilung und Management hier offenbar keinerlei Due Diligence betrieben haben.
Discord könnte die Tokens leicht ungültig machen oder widerrufen, und Passwortdaten hätten sie unabhängig davon, ob sie gehasht waren, gar nicht besessen.
Natürlich kann es sein, dass mir etwas entgeht, weil ich discord.io nicht genutzt habe.
Auch Google Login verlangt bzw. liefert standardmäßig ungefähr genau das; wenn darüber hinausgehender Zugriff verlangt wird, wirkt das ungewöhnlich.
Zur Klarstellung: discord.io !== discord.com, die Chat-App; es ist ein verwandter, aber separater Dienst.
Zum Beispiel mussten Drittanbieter-Reddit-Clients ihre Namen von „Reddit Sync“ zu „Sync for Reddit“ ändern, und die Snoo-Figur durfte nicht im Branding verwendet werden.
Aber in diesem Fall verstehe ich nicht, warum Discord dieses Branding in Ordnung fand. Es sieht geradezu offensichtlich wie eine alternative offizielle Domain ihres Dienstes aus.
Wenn man nach „what is discord.io“ sucht, findet man auch etliche verwirrte Reddit-Posts, die fragen, ob es legit/safe ist.
Wenn es eine „Drittanbieter-Schnittstelle für den weit verbreiteten Discord-Messenger“ ist, scheint mir das ausdrücklich gegen die Nutzungsbedingungen von Discord zu verstoßen.
Es überrascht mich, dass Discord das nicht selbst geschlossen hat.
discord.iohätte meiner Meinung nach als Grund für eine Schließung ausreichen müssen.Das war eine Alternative, bevor diese Funktion offiziell angeboten wurde, also bevor zahlende Nutzer dafür einen Server boosten mussten.
Es war nicht wirklich irgendeine Drittanbieter-Schnittstelle, die den Discord-Client nachbildete. Jedenfalls nicht, sofern sich das nicht kürzlich geändert hat.
Ich frage mich, ob man sicher ist, wenn man nie einen Drittanbieter-Discord-Dienst genutzt hat.
Ich bin kurz erschrocken, aber als ich darüber nachdachte, was ich verlieren könnte, fiel mir nichts ein. Es gibt nichts Unersetzliches und keine Kontakte, die ich unbedingt aufrechterhalten müsste.
Anfängerfrage: Auf welchen Websites werden solche Daten veröffentlicht? Ich habe so etwas noch nie gesehen.
https://discord.io/ wurde durch eine Abschaltmeldung ersetzt, und dort wird direkt erwähnt, wo die Zugangsdaten verkauft werden. Wenn man diesen Namen bei Google sucht, ist es das erste Ergebnis.
Durchgesickerte Zugangsdaten werden auch auf öffentlichen Websites verkauft, die von Suchmaschinen indexiert werden. Das ist kein TOR-Club nur für Anonymous-Hacker hinter vierfachen Proxys.
Nebenbei: Wenn Microsoft, Google oder Krebs über eine neue „fortgeschrittene“ „russische“ „APT“ sprechen, ist es in neun von zehn Fällen oft irgendein Typ, der in solchen Foren alte Zugangsdaten weiterverkauft, ein Mirai-Fork oder eine Bedrohung, der man kaum trauen kann.
Diese Dinge sind deutlich weniger cool, als sie oft dargestellt werden.
Es gibt auch Suchmaschinen für so etwas, aber das Verhältnis von Betrug zu Echtem dürfte etwa 99:1 sein. Ich wüsste nicht, wie man verifizieren sollte, ob das, was man gesehen hat, echt ist.
Wenn man aber im Bereich Cybersecurity unterwegs ist, ist man solchen Sites sicher schon begegnet; es gibt auch Seiten, die die neuesten bis zu diesem Monat entdeckten APTs behandeln.
Ich würde gern die Leute fragen, die discord.io genutzt haben: Was war der Vorteil gegenüber discord.gg? Leider ist die Website offline, sodass man nicht einmal mehr die eigene Marketing-Botschaft sehen kann.
Ein Archiv der Site gibt es hier: https://web.archive.org/web/20220329132537/https://discord.i...
Wenn es eine Datenbank gibt und keine Verantwortung für Datensicherheit, kommt es zwangsläufig zu einem Einbruch.
Nichts Neues.
Wie kann ich herausfinden, ob ich betroffen bin? Ich nutze Discord, erinnere mich aber nicht, wie ich mich angemeldet habe. Vermutlich bin ich über das erste Suchergebnis gegangen; es könnte auch eine Anzeige gewesen sein.
Du kannst es aber unter dem folgenden Link prüfen. Der Betreiber bekommt viele geleakte Datensätze gespendet.
https://haveibeenpwned.com/
Google scheint außerdem eigene Leute zu haben, die onion-Sites durchforsten, geleakte Datensätze kaufen und sie mit den eigenen Diensten abgleichen, um zu prüfen, ob betroffene Nutzer dabei sind.
Solange es Daten gibt, wird es auch weiter Datenlecks geben.
Wie sehr sollte ich mir als Discord-Nutzer Sorgen machen?
Wenn du das nicht getan hast, gehe ich davon aus, dass dein Konto nicht kompromittiert wurde.