1 Punkte von GN⁺ 2023-08-15 | 1 Kommentare | Auf WhatsApp teilen
  • Beim Dienst für benutzerdefinierte Einladungslinks Discord.io wurden Daten von 760.000 Nutzern offengelegt und in einem Darknet-Forum zum Verkauf angeboten; auch das Betriebsteam des Dienstes bestätigte die Kompromittierung
  • Eine Prüfung von Stichproben bestätigte, dass die geleakten E-Mail-Adressen mit echten Discord-Konten verknüpft sind, wodurch die Wahrscheinlichkeit realer Schäden über eine bloße Behauptung hinaus steigt
  • Das offizielle Discord erklärte, nicht mit Discord.io verbunden zu sein, und widerrief die OAuth-Tokens von Nutzern, die Discord.io verwendet hatten, um die App-Berechtigungen zu blockieren
  • Discord.io stellte am 14. August 2023 CET zehn Minuten nach Erkennen des Vorfalls alle Dienste ein und kündigte auch bestehende Premium-Abonnements
  • Betroffene Nutzer sollten ihre Passwörter überprüfen und 2FA aktivieren, da die geleakten Daten für Phishing, Spam und täuschende Aktivitäten missbraucht werden könnten

Bestätigtes Leck bei Discord.io und Reaktion von Discord

  • Discord.io war eine Plattform zum Erstellen benutzerdefinierter persönlicher Discord-Einladungslinks; die Website war zu diesem Zeitpunkt bereits offline und nur noch über einen Archive.org-Snapshot einsehbar
  • Eine unbestätigte Person stellte die Daten von 760.000 Discord.io-Nutzern in einem Darknet-Forum zum Verkauf ein; bekannt wurde dies über den Information Leaks Telegram-Kanal, der mit einem russisch basierten Dienst zur Verfolgung von Schwachstellen, Datenlecks und betrügerischen Online-Ressourcen in Verbindung steht
  • Der Verkäufer legte Stichproben vor, um die Echtheit der Daten zu belegen, und Cybersecurity-Experten bewerteten die enthaltenen Login-Informationen als mit echten Discord-Nutzern übereinstimmend
    • Ob die geleakten E-Mail-Adressen mit echten Discord-Konten verknüpft sind, wurde durch mehrere Passwort-Wiederherstellungstests überprüft
  • Ein Sprecher von Discord erklärte, dass Discord nicht mit Discord.io verbunden sei, keine Nutzerinformationen direkt an Discord.io weitergebe und keinen Zugriff auf oder Kontrolle über die von Discord.io gespeicherten Informationen habe
  • Discord widerrief die OAuth-Tokens von Discord-Nutzern, die Discord.io verwendet hatten, sodass die App nicht mehr im Namen der Nutzer handeln kann, bis diese sich erneut authentifizieren
  • Als Maßnahme zum Kontoschutz wurde empfohlen, Zwei-Faktor-Authentifizierung und SMS-Authentifizierung zu prüfen

Umfang des Vorfalls und Zeitplan der Abschaltung

  • Das Team von Discord.io bestätigte den Vorfall offiziell auf Discord und veröffentlichte den Ablauf des Ereignisses, die geleakten Daten und die Folgemaßnahmen
  • Zeitachse des Vorfalls

    • Montag, 14. August 2023, 12:51 AM CET: Eine Vorschau der Discord.io-Benutzerdatenbank erschien auf BreachForums
    • Montag, 14. August 2023, 4:30 PM CET: Das Discord.io-Team bemerkte die Kompromittierung
    • Montag, 14. August 2023, 4:36 PM CET: Die Echtheit des Vorfalls wurde bestätigt
    • Montag, 14. August 2023, 4:40 PM CET: Die Abschaltung aller Discord.io-Dienste begann

Geleakte Informationen und verbleibende Risiken

  • Potenziell sensible geleakte Informationen

    • Benutzername bei der Registrierung oder aktueller Discord-Benutzername
    • Discord-ID
    • Mit dem Konto verknüpfte E-Mail-Adresse
    • Rechnungsadresse, die einige Nutzer vor der Einführung von Stripe-Zahlungen angegeben hatten
    • Gesalzene und gehashte Passwörter, vor allem von Nutzern aus der Zeit seit 2018, bevor Discord.io ausschließlich Discord-Login verwendete
  • Geleakte nicht sensible Informationen

    • Interne Benutzer-ID
    • Avatar-Details
    • Benutzerstatus wie moderator, admin, has ads, banned, public
    • Münzsaldo und aktuelle Streak in kostenlosen Minispielen
    • API-Schlüssel, die eine begrenzte Zahl von Nutzern betreffen
    • Registrierungsdatum, letztes Zahlungsdatum, Ablaufdatum der Premium-Mitgliedschaft
  • Sicher gebliebene Daten und weitere Hinweise

    • Alle Informationen, die nicht ausdrücklich in der Leckliste genannt wurden
    • Zahlungsdetails, die sicher bei den Partnern Stripe und PayPal gespeichert sind
    • Discord.io kündigte alle bestehenden Premium-Abonnements und will Abonnenten einzeln kontaktieren
    • Zum Zeitpunkt des letzten Updates hatte das Discord.io-Team keinen Kontakt zur verantwortlichen Partei herstellen können und konnte auch nicht bestätigen, ob die Datenbank öffentlich weiterverbreitet wurde
    • Es wurde eine Liste der Server bereitgestellt, die den Dienst Discord.io verwendet hatten; sie kann jedoch veraltete oder inaktive Links enthalten
    • Für allgemeine Anfragen kann über das Helpdesk „Support“, für sensible Angelegenheiten „Admin“ kontaktiert werden; das Team von Discord.io wies darauf hin, dass möglicherweise nicht auf alle Nachrichten geantwortet werden kann
    • Nutzer der Plattform sollten sofort ihr Passwort ändern und Zwei-Faktor-Authentifizierung aktivieren, um die Kontosicherheit zu erhöhen

1 Kommentare

 
GN⁺ 2023-08-15
Meinungen auf Hacker News
  • Zum Glück habe ich diese Website nicht genutzt, weil ich genau solche Dinge befürchtet habe.
    Ein Link, um über Discord.io einem Discord-Server beizutreten, stand weit oben in den Google-Ergebnissen, und ich klickte darauf, ohne zu wissen, dass es ein Drittanbieter-Dienst war.
    Dann zeigte OAuth aber einen Bestätigungsbildschirm an, der sinngemäß sagte: „Du bist dabei, diesen Drittanbieter-Dienst zu verbinden und ihm vollständigen Zugriff auf dein Konto zu geben“, also habe ich sofort abgelehnt.
    Es ist beschämend, dass Discords Rechtsabteilung und Management hier offenbar keinerlei Due Diligence betrieben haben.

    • Wenn Discord zugelassen hat, dass diese Website mit dieser Marke so lange betrieben wurde, besteht dann nicht auch die Gefahr, dass sie durch mangelndes Durchgreifen ihre Markenrechte wegen Markenverwässerung verlieren?
    • Wenn Discord.io OAuth verwendet hat, wäre das im Großen und Ganzen wohl kein großes Problem gewesen.
      Discord könnte die Tokens leicht ungültig machen oder widerrufen, und Passwortdaten hätten sie unabhängig davon, ob sie gehasht waren, gar nicht besessen.
      Natürlich kann es sein, dass mir etwas entgeht, weil ich discord.io nicht genutzt habe.
    • Ich frage mich, ob Discord tatsächlich andere Zugriffsrechte gewährt als die Kenntnis von E-Mail-Adresse, Profilbild und Name.
      Auch Google Login verlangt bzw. liefert standardmäßig ungefähr genau das; wenn darüber hinausgehender Zugriff verlangt wird, wirkt das ungewöhnlich.
  • Zur Klarstellung: discord.io !== discord.com, die Chat-App; es ist ein verwandter, aber separater Dienst.

    • Normalerweise finde ich es etwas übertrieben, dass Drittanbieter-Produkte für ein Produkt strenge Markenrichtlinien einhalten müssen, damit sie nicht offiziell wirken.
      Zum Beispiel mussten Drittanbieter-Reddit-Clients ihre Namen von „Reddit Sync“ zu „Sync for Reddit“ ändern, und die Snoo-Figur durfte nicht im Branding verwendet werden.
      Aber in diesem Fall verstehe ich nicht, warum Discord dieses Branding in Ordnung fand. Es sieht geradezu offensichtlich wie eine alternative offizielle Domain ihres Dienstes aus.
      Wenn man nach „what is discord.io“ sucht, findet man auch etliche verwirrte Reddit-Posts, die fragen, ob es legit/safe ist.
    • Und discord.com !== discordapp.com oder discord.gg ist es auch nicht.
  • Wenn es eine „Drittanbieter-Schnittstelle für den weit verbreiteten Discord-Messenger“ ist, scheint mir das ausdrücklich gegen die Nutzungsbedingungen von Discord zu verstoßen.
    Es überrascht mich, dass Discord das nicht selbst geschlossen hat.

    • Allein die Domain discord.io hätte meiner Meinung nach als Grund für eine Schließung ausreichen müssen.
    • Es war hauptsächlich eine Möglichkeit für nicht-partnerisierte Server, dauerhafte und gut lesbare Einladungslinks zu haben.
      Das war eine Alternative, bevor diese Funktion offiziell angeboten wurde, also bevor zahlende Nutzer dafür einen Server boosten mussten.
      Es war nicht wirklich irgendeine Drittanbieter-Schnittstelle, die den Discord-Client nachbildete. Jedenfalls nicht, sofern sich das nicht kürzlich geändert hat.
  • Ich frage mich, ob man sicher ist, wenn man nie einen Drittanbieter-Discord-Dienst genutzt hat.
    Ich bin kurz erschrocken, aber als ich darüber nachdachte, was ich verlieren könnte, fiel mir nichts ein. Es gibt nichts Unersetzliches und keine Kontakte, die ich unbedingt aufrechterhalten müsste.

    • Wenn jemand Zugriff auf das Konto bekommt, kann er alle Nachrichten lesen und sich vermutlich auch als mich ausgeben.
  • Anfängerfrage: Auf welchen Websites werden solche Daten veröffentlicht? Ich habe so etwas noch nie gesehen.

    • Ich weiß nicht, warum alle anderen Antworten hier so geheimnisvoll tun und Rollenspiel betreiben.
      https://discord.io/ wurde durch eine Abschaltmeldung ersetzt, und dort wird direkt erwähnt, wo die Zugangsdaten verkauft werden. Wenn man diesen Namen bei Google sucht, ist es das erste Ergebnis.
      Durchgesickerte Zugangsdaten werden auch auf öffentlichen Websites verkauft, die von Suchmaschinen indexiert werden. Das ist kein TOR-Club nur für Anonymous-Hacker hinter vierfachen Proxys.
      Nebenbei: Wenn Microsoft, Google oder Krebs über eine neue „fortgeschrittene“ „russische“ „APT“ sprechen, ist es in neun von zehn Fällen oft irgendein Typ, der in solchen Foren alte Zugangsdaten weiterverkauft, ein Mirai-Fork oder eine Bedrohung, der man kaum trauen kann.
      Diese Dinge sind deutlich weniger cool, als sie oft dargestellt werden.
    • Es gibt mehrere Darknet-Foren. Natürlich werden sie nicht im normalen Web sein.
      Es gibt auch Suchmaschinen für so etwas, aber das Verhältnis von Betrug zu Echtem dürfte etwa 99:1 sein. Ich wüsste nicht, wie man verifizieren sollte, ob das, was man gesehen hat, echt ist.
    • Ich habe ein Verzeichnis der meisten solcher Sites, aber selbstverständlich werde ich es nicht unter meinem echten Namen posten.
      Wenn man aber im Bereich Cybersecurity unterwegs ist, ist man solchen Sites sicher schon begegnet; es gibt auch Seiten, die die neuesten bis zu diesem Monat entdeckten APTs behandeln.
  • Ich würde gern die Leute fragen, die discord.io genutzt haben: Was war der Vorteil gegenüber discord.gg? Leider ist die Website offline, sodass man nicht einmal mehr die eigene Marketing-Botschaft sehen kann.

  • Wenn es eine Datenbank gibt und keine Verantwortung für Datensicherheit, kommt es zwangsläufig zu einem Einbruch.
    Nichts Neues.

  • Wie kann ich herausfinden, ob ich betroffen bin? Ich nutze Discord, erinnere mich aber nicht, wie ich mich angemeldet habe. Vermutlich bin ich über das erste Suchergebnis gegangen; es könnte auch eine Anzeige gewesen sein.

    • Das ist nicht die Haupt-App/-Website von Discord, also bist du wahrscheinlich nicht betroffen.
      Du kannst es aber unter dem folgenden Link prüfen. Der Betreiber bekommt viele geleakte Datensätze gespendet.
      https://haveibeenpwned.com/
      Google scheint außerdem eigene Leute zu haben, die onion-Sites durchforsten, geleakte Datensätze kaufen und sie mit den eigenen Diensten abgleichen, um zu prüfen, ob betroffene Nutzer dabei sind.
  • Solange es Daten gibt, wird es auch weiter Datenlecks geben.

  • Wie sehr sollte ich mir als Discord-Nutzer Sorgen machen?

    • Offenbar hätte man sein Discord-Konto mit einer separaten Discord-bezogenen App verknüpfen müssen.
      Wenn du das nicht getan hast, gehe ich davon aus, dass dein Konto nicht kompromittiert wurde.