Discord.io में सेंध, darknet पर 7.6 लाख यूज़र accounts बिक्री के लिए
(stackdiary.com)- Discord के custom invite link service Discord.io से 760,000 यूज़र्स का डेटा लीक हुआ और darknet forum पर बिक्री के लिए listing में डाला गया; service operations team ने भी breach की पुष्टि की
- sample verification में लीक हुए email वास्तविक Discord accounts से जुड़े पाए गए, जिससे यह सिर्फ़ दावा होने के बजाय वास्तविक नुकसान की संभावना बढ़ गई
- official Discord, Discord.io से affiliated नहीं है; उसने Discord.io इस्तेमाल करने वाले यूज़र्स के OAuth tokens revoke कर दिए, ताकि app permissions block हो जाएँ
- Discord.io ने 14 अगस्त 2023 CET को breach का पता चलने के 10 मिनट बाद अपनी सभी services बंद कर दीं, और मौजूदा premium subscriptions भी cancel कर दिए
- प्रभावित यूज़र्स को passwords की जांच करनी चाहिए और 2FA enable करना चाहिए; leaked data का phishing, spam और भ्रामक गतिविधियों में दुरुपयोग हो सकता है
Discord.io leak की पुष्टि और Discord की प्रतिक्रिया
- Discord.io एक platform था जो custom personal Discord invite links बनाने देता था; उस समय site down थी और केवल Archive.org snapshot से ही देखी जा सकती थी
- एक अज्ञात व्यक्ति ने Discord.io के 760,000 यूज़र्स का डेटा darknet forum पर sale listing के रूप में डाला, और यह जानकारी Russia-based vulnerability, data leak और fraudulent online resources tracking service से जुड़े Information Leaks Telegram channel के जरिए सामने आई
- seller ने data की authenticity दिखाने के लिए sample पेश किया, और cybersecurity experts ने आकलन किया कि sample login information वास्तविक Discord users से match करती है
- leaked email addresses वास्तविक Discord accounts से जुड़े हैं या नहीं, यह कई password recovery tests से confirm किया गया
- official Discord spokesperson ने कहा कि Discord, Discord.io से affiliated नहीं है, Discord.io के साथ user information सीधे share नहीं करता, और Discord.io द्वारा रखी गई information तक उसकी access या control नहीं है
- Discord ने Discord.io इस्तेमाल करने वाले Discord users के OAuth tokens revoke कर दिए, जिससे वह app तब तक users की ओर से actions perform नहीं कर सकता जब तक user फिर से authenticate न करे
- account protection measure के तौर पर two-factor authentication और SMS authentication review की सलाह दी गई
breach का दायरा और service shutdown schedule
- Discord.io team ने Discord पर breach की आधिकारिक पुष्टि की और incident timeline, leaked data और follow-up actions सार्वजनिक किए
-
incident timeline
- सोमवार, 14 अगस्त 2023, 12:51 AM CET: Discord.io user database preview BreachForums पर दिखाई दिया
- सोमवार, 14 अगस्त 2023, 4:30 PM CET: Discord.io team को breach का पता चला
- सोमवार, 14 अगस्त 2023, 4:36 PM CET: breach की authenticity confirm हुई
- सोमवार, 14 अगस्त 2023, 4:40 PM CET: सभी Discord.io services बंद होना शुरू हुईं
लीक हुई जानकारी और बाकी risk
-
संभावित रूप से sensitive leaked information
- signup के समय का username या मौजूदा Discord username
- Discord ID
- account से जुड़ा email address
- Stripe payments लागू होने से पहले कुछ users द्वारा दिया गया billing address
- salted और hashed passwords, मुख्यतः उन users से संबंधित जो 2018 से Discord.io द्वारा केवल Discord login इस्तेमाल करने से पहले के थे
-
leaked non-sensitive information
- internal user ID
- avatar details
- moderator, admin, has ads, banned, public जैसे user status
- free minigame का coin balance और current streak
- सीमित संख्या में users से संबंधित API keys
- signup date, last payment date, premium membership expiry date
-
सुरक्षित रहे data और follow-up guidance
- leaked list में स्पष्ट रूप से शामिल न की गई सभी information
- Stripe और PayPal partners के पास सुरक्षित रूप से stored payment details
- Discord.io ने सभी मौजूदा premium subscriptions cancel कर दिए और subscribers से अलग-अलग contact करने की योजना है
- last update तक Discord.io team breach करने वाले party से contact नहीं कर पाई थी, और यह भी confirm नहीं कर पाई थी कि database publicly share किया गया है या नहीं
- Discord.io services इस्तेमाल करने वाले servers की list दी गई थी, लेकिन उसमें पुराने या inactive links शामिल हो सकते हैं
- सामान्य queries के लिए helpdesk में “Support”, और sensitive matters के लिए “Admin” के तहत request की जा सकती है; Discord.io team ने बताया कि वह हर message का जवाब नहीं दे पाएगी
- platform users को तुरंत अपना password बदलना चाहिए और two-factor authentication enable करके account security मजबूत करनी चाहिए
1 टिप्पणियां
Hacker News की राय
शुक्र है कि ऐसी ही चिंता के कारण मैंने यह वेबसाइट इस्तेमाल नहीं की थी
Discord.io के ज़रिए Discord सर्वर में जाने वाला लिंक Google के टॉप रिज़ल्ट्स में आया था, और मैंने यह जाने बिना क्लिक कर दिया कि यह कोई third-party service है
लेकिन OAuth ने confirmation screen दिखाई कि “आप इस third-party service से कनेक्ट होकर अपने पूरे अकाउंट की access permission देने जा रहे हैं”, इसलिए मैंने तुरंत मना कर दिया
यह शर्म की बात है कि Discord की legal team और management ने इस मामले में बिल्कुल due diligence नहीं की
क्योंकि Discord tokens को आसानी से invalidate या revoke कर सकता था, और उसके पास password data भी नहीं होता, चाहे वह hashed हो या नहीं
बेशक, मैंने discord.io इस्तेमाल नहीं किया, इसलिए हो सकता है मैं कुछ miss कर रहा हूं
Google login भी by default लगभग यही मांगता या देता है, और इससे ज़्यादा access मांगना असामान्य लगता है
ध्यान दें कि discord.io !== discord.com chat app है; संबंधित है, लेकिन अलग service है
जैसे third-party Reddit clients को “Reddit Sync” से “Sync for Reddit” नाम करना पड़ा था, और Snoo character को भी branding में इस्तेमाल करने से रोका गया था
लेकिन इस मामले में समझ नहीं आता कि Discord ने ऐसी branding को कैसे ठीक माना। यह साफ तौर पर उनकी service के alternative official domain जैसा दिखता है
“what is discord.io” search करने पर legit/safe है या नहीं, पूछने वाली काफी confused Reddit posts भी मिलती हैं
अगर यह “व्यापक रूप से इस्तेमाल होने वाले Discord messenger के लिए बना third-party interface” है, तो मुझे लगता है कि यह Discord की terms of service के साफ तौर पर खिलाफ नहीं है क्या
हैरानी है कि Discord ने इसे खुद बंद नहीं कराया
discord.iodomain ही बंद कराने के लिए काफी वजह नहीं था, यह हैरान करने वाला हैयह उस feature के officially available होने से पहले, यानी paid users द्वारा server boost करने पर यह संभव होने से पहले का alternative था
यह असल में Discord client को recreate करने वाला कोई third-party interface नहीं था। अगर हाल में कुछ बदला न हो तो
सोच रहा हूं, अगर मैंने कभी third-party Discord service इस्तेमाल नहीं की, तो क्या मैं safe हूं
एक पल के लिए डर गया था, लेकिन सोचा कि खोने को क्या है तो कुछ भी नहीं। कुछ irreplaceable नहीं है, और न ही ऐसे contacts हैं जिन्हें बनाए रखना जरूरी हो
beginner question है, ऐसे data publish होने वाली websites कहां होती हैं? मैंने कभी नहीं देखीं
https://discord.io/ shutdown notice में बदल गया है, और वहीं सीधे बताया गया है कि credentials कहां बिक रहे हैं। वह नाम Google में search करें तो पहला result आता है
leak हुए credentials ऐसे public websites पर भी बिकते हैं जो search engines में indexed होती हैं। यह कोई 4 proxies से गुज़रने वाला Anonymous hackers-only TOR club नहीं है
साथ ही, जब Microsoft, Google, Krebs कोई नया “advanced” “Russian” “APT” बताते हैं, तो दस में नौ बार वह अक्सर इन्हीं forums पर post करने वाला कोई बच्चा होता है जो पुराने credentials resell कर रहा होता है, कोई Mirai fork होता है, या बिल्कुल भरोसे लायक न लगने वाला threat होता है
ये चीजें लोगों की packaging से कहीं कम cool होती हैं
ऐसी चीजों के search engines भी हैं, लेकिन scams और genuine चीजों का ratio शायद 99:1 के आसपास होगा। जो देखा वह असली है या नहीं, यह verify कैसे करेंगे, पता नहीं
फिर भी अगर आप cybersecurity में हैं, तो आपने ऐसी sites जरूर देखी होंगी, और ऐसी sites भी हैं जो इस महीने तक खोजे गए latest APTs cover करती हैं
जिन लोगों ने discord.io इस्तेमाल किया था, उनसे पूछना चाहता हूं: discord.gg से बेहतर appeal क्या थी? अफसोस कि site down है, इसलिए उसकी अपनी marketing copy भी नहीं देख सकता
site archive यहां देख सकते हैं: https://web.archive.org/web/20220329132537/https://discord.i...
अगर database है और data security responsibility नहीं है, तो breach होना तय है
इसमें कुछ नया नहीं है
कैसे पता चले कि मैं affected हूं या नहीं? मैं Discord इस्तेमाल करता हूं, लेकिन याद नहीं कि कैसे sign up किया था। शायद पहले search result से गया था, वह ad भी हो सकता था
फिर भी नीचे वाले link पर check कर सकते हैं। उस व्यक्ति को cracked data bundles बहुत donate किए जाते हैं
https://haveibeenpwned.com/
लगता है Google भी अपनी टीम से onion sites खंगालकर cracked data bundles खरीदवाता है, और उन्हें अपनी services से मिलाकर देखता है कि कोई affected user है या नहीं
जब तक data रहेगा, data leaks भी जारी रहेंगे
Discord user के तौर पर मुझे कितना चिंतित होना चाहिए?
अगर आपने ऐसा नहीं किया, तो मुझे लगता है आपका account compromised नहीं हुआ होगा