Discord.io bị vi phạm dữ liệu khiến thông tin của 760 nghìn người dùng bị lộ

Dịch vụ Discord.io đã tạm thời ngừng hoạt động sau khi bị vi phạm dữ liệu làm lộ thông tin của 760.000 thành viên.

Discord.io không phải trang web chính thức của Discord mà là dịch vụ của bên thứ ba cho phép chủ sở hữu máy chủ tạo các lời mời tùy chỉnh cho kênh của họ.

Mới đây, một người được gọi là 'Akhirah' đã rao bán cơ sở dữ liệu Discord.io trên các diễn đàn hack. Để chứng minh dữ liệu vi phạm, kẻ đe dọa đã công khai bốn hồ sơ người dùng từ cơ sở dữ liệu.

Theo tác nhân đe dọa, cơ sở dữ liệu chứa thông tin của 760.000 người dùng Discord.io và bao gồm các loại thông tin “auth”, “auth_id”, “admin”, “email”, “name”, “username”, “password”, “tokens”, “tokens_free”, “address”, “api”, “favorites”, “domain”, “media”, “auth_key”, “last_payment”,...

Thông tin nhạy cảm nhất bị lộ là tên người dùng, địa chỉ email, địa chỉ thanh toán (số ít người), mật khẩu đã được hash (salted and hashed password) (số ít người) và Discord ID.

Giải thích về việc rò rỉ ID Discord, Discord.io cho biết: “Thông tin này không phải là thông tin bí mật và có thể được lấy bởi bất kỳ ai chia sẻ máy chủ với bạn. Tuy nhiên, thông tin bị lộ sẽ dẫn đến những người khác có thể liên kết tài khoản Discord của bạn với một địa chỉ email nhất định”.

Theo báo cáo đầu tiên của StackDiary, Discord.io đã xác nhận tính chính xác của sự cố vi phạm trong một thông báo gửi tới máy chủ và trang web Discord của họ, đồng thời đã tạm thời ngừng các dịch vụ của họ.

Discord.io cho biết đối tượng đứng sau vụ vi phạm đã liên hệ với họ và không tiết lộ bất kỳ thông tin nào về cách họ bị vi phạm.

BleepingComputer đã liên hệ với người rao bán cơ sở dữ liệu Discord.io, Akhirah, và được phản hồi rằng anh ta chưa nói chuyện với chủ sở hữu dịch vụ.

Trang web Discord.io hoạt động như một thư mục nơi khách truy cập có thể tìm kiếm các máy chủ Discord phù hợp với nội dung cụ thể và nhận được lời mời truy cập vào nó. Trong một số trường hợp, người dùng phải mua và chi tiêu tiền ảo của trang web, Discord.io Coins, để có quyền truy cập vào lời mời.

Khi tạo các cấu hình (profile) máy chủ Discord này, điều khoản sử dụng của Discord.io nêu rõ rằng tất cả nội dung sẽ do người dùng hoàn toàn chịu trách nhiệm nhưng các nhà điều hành có quyền xóa bất kỳ nội dung nào bất hợp pháp hoặc vi phạm quy tắc của họ.

Tuy nhiên, Akhirah cho biết “một số máy chủ đã bỏ qua những nội dung về ấu dâm và những thứ tương tự, họ nên đưa vào danh sách đen và chặn chúng”.

Các thành viên Discord.io nên làm gì?

Mặc dù tin tặc cho biết anh ta chưa bán cơ sở dữ liệu, nhưng tất cả người dùng nên xử lý tình huống như thể dữ liệu của họ có thể sẽ bị lạm dụng.

Mật khẩu trong vụ vi phạm này được hash bằng bcrypt, nên việc crack nó sẽ mất nhiều thời gian hơn.

Tuy nhiên, địa chỉ email bị lộ có thể có giá trị đối với các tác nhân đe dọa khác vì chúng có thể được sử dụng cho các cuộc tấn công lừa đảo có chủ đích nhằm đánh cắp thông tin nhạy cảm hơn.

Do đó, nếu bạn là thành viên của Discord.io, bạn nên đề phòng những email bất thường có liên kết đến các trang yêu cầu bạn nhập mật khẩu hoặc thông tin khác.

Để biết bất kỳ thông tin cập nhật nào về vụ vi phạm, bạn có thể theo dõi thông tin trên trang discord.io.

Nguồn: bleepingcomputer.com.