Discord ha sofert una violació de dades
29/08/2023

Durant la nit del 14 d’agost, Discord va patir una greu violació de dades, la qual cosa va provocar que el contingut de la seva base de dades es filtrés a actors desconeguts amb intencions malicioses. Al llarg del dia varen ser informats d’aquesta vulneració i, després de verificar el contingut d’aquesta, van decidir suspendre tots els serveis i operacions de la plataforma.
Què va passar?
Encara s’està investigant la violació, però creuen que aquesta va ser causada per una vulnerabilitat al codi del seu lloc web, que va permetre a un atacant accedir a la seva base de dades. L’atacant va procedir a descarregar la base de dades sencera i la va posar a la venda en un lloc de tercers.
Quines dades es van filtrar?
– Informació no sensible sobre el compte dels usuaris:
- L’ID d’usuari intern.
- Informació sobre els avatars.
- L’estat (moderador/administrador/conté anuncis/sancionat/públic/etc.).
- El saldo de monedes i la ratxa actual dels usuaris en el seu minijoc gratuït.
- La clau API, la qual no dona accés al compte de l’usuari i a més només estava disponible per menys d’una dotzena d’internautes.
- La data de registre.
- La data del darrer pagament i la data d’expiració de subscripcions prèmium.
– Informació potencialment sensible sobre els comptes:
- El nom d’usuari: Ja sigui el que es va proporcionar en el moment de l’enregistrament o, per a la majoria, el nom d’usuari actual de Discord.
- L’ID de Discord: Aquesta informació no és privada i pot ser obtinguda per qualsevol persona que comparteixi un servidor amb hom. La seva inclusió en la filtració, no obstant això, significa que altres persones podrien vincular el compte de Discord a una adreça de correu electrònic determinada.
- L’adreça de correu electrònic: Ja sigui la que es va proporcionar a l’hora d’efectuar el registre o, per a la majoria, l’adreça de correu electrònic actual vinculada a Discord.
- L’adreça de facturació: Això només ha de preocupar a un petit nombre de persones i fa referència a l’adreça de facturació que es va proporcionar per efectuar una compra al seu lloc abans d’utilitzar la plataforma Stripe.
- La contrasenya amb un valor de sal i xifrada amb hash: Això només hauria de preocupar un petit nombre de persones que van registrar-se abans que oferissin exclusivament Discord com a opció d’inici de sessió (a partir del 2018). Tot i que la contrasenya estava xifrada d’acord amb els estàndards de la indústria, si no era única, s’insta a actualitzar-la en qualsevol altre lloc on pugui ser semblant.
D’altra banda, Discord no emmagatzema cap informació de pagament, i tots els pagaments es processen mitjançant PayPal o Stripe. No emmagatzema cap informació de pagament als seus servidors, i aquesta informació no es va filtrar.
Què s’està fent al respecte?
Com a mesura de seguretat la decisió ha estat el tancament del seu lloc fins a nou avís.
Per ara, es continua investigant les possibles causes de la violació i es prendran mesures per garantir que això no torni a passar.
Entre altres tècniques de ciberseguretat, s’inclourà una reescriptura completa del codi del lloc web, així com una revisió completa de les pràctiques de seguretat.
Què han de fer els usuaris?
Com només emmagatzemaven l’ID d’usuari de Discord, i no el token d’autenticació, no és necessari canviar la contrasenya ni que es prengui cap altra mesura a Discord mateix.
No obstant això, si hom s’ha registrat al seu lloc abans del 2018, utilitzant el seu anterior procediment de registre mitjançant nom d’usuari/contrasenya, s’insta a què es canviï la credencial en qualsevol altre lloc que es pugui haver utilitzat la mateixa clau secreta.
Què passa amb la subscripció prèmium?
Com s’han tancat totes les operacions, també s’han cancel·lat totes les subscripcions actives al seu lloc. Per tant, no s’efectuarà cap càrrec més.
Si s’ha adquirit una subscripció prèmium en els darrers trenta dies, es reemborsarà íntegrament.
Per qualsevol dubte que es pugui tenir al respecte, des de la plataforma es prega que els usuaris es posin en contacte mitjançant l’adreça de correu electrònic: support@discord.io amb el nom d’usuari i l’adreça que es va fer servir per la compra per tal que es pugui processar el reemborsament tan aviat com sigui possible.