.
O Discord.io fechou “no futuro próximo”, depois que bandidos roubaram e colocaram à venda dados pertencentes a todos os 760.000 usuários do serviço.
O ataque aconteceu na noite de segunda-feira “resultando em conteúdo de nosso banco de dados vazando para atores desconhecidos”, de acordo com um perceber no site Discord.io.
Depois de passar todos os dados, incluindo detalhes da conta “não confidenciais” e “potencialmente confidenciais”, um canalha que atende pelo apelido de Akhirah despejou a informação em um fórum de crimes cibernéticos.
“Continuaremos investigando as possíveis causas da violação e tomaremos medidas para garantir que isso não aconteça novamente”, disse o aviso do Discord.io. “Isso incluirá uma reescrita completa do código do nosso site, bem como uma revisão completa de nossas práticas de segurança”.
Para ser claro: a invasão aconteceu no Discord.io, um serviço terceirizado para criar convites personalizados para servidores individuais do Discord. É separado do Discord, o império de bate-papo instantâneo IRC-on-esteróides que permanece seguro.
O Discord.io disse que confirmou que os dados despejados foram retirados de seus sistemas e, por causa disso, “decidiu retirar nosso site do ar até novo aviso”. Enquanto uma investigação ainda está em andamento, os administradores do site dizem acreditar que os invasores obtiveram acesso ao site por meio de um código com bugs, o que permitiu que eles invadissem o banco de dados.
Os dados roubados incluem nomes de usuários (geralmente seu nome de usuário atual do Discord), endereços de e-mail, IDs do Discord e endereços de cobrança de qualquer pessoa que tenha feito uma compra no site antes de o Discord.io começar a usar o Stripe.
Os malfeitores também vazaram as senhas com sal e hash dos usuários, que o serviço diz afetar apenas “um pequeno número de pessoas antes de oferecermos exclusivamente o Discord como uma opção de login”. Isso começou em 2018.
“Embora sua senha tenha sido criptografada de acordo com os padrões do setor, se não for exclusiva, pedimos que você a atualize em qualquer outro site em que possa ser semelhante”, alertaram os administradores do site.
Os bandidos não acessaram as informações de pagamento, que o Discord.io diz não armazenar mais em seus servidores desde que mudou para Stripe e PayPal.
Além das informações do usuário mencionadas acima, os criminosos vazaram alguns detalhes adicionais “não confidenciais” da conta, incluindo: ID do usuário interno, informações do avatar, status (ou seja, moderador, administrador, banido, público, etc.), saldo de moedas, API chave, data de registro, data do último pagamento e data de expiração da assinatura premium dos usuários.
Além de fechar o site, o Discord.io também cancelou todas as assinaturas ativas e prometeu reembolsar todas as assinaturas premium adquiridas nos últimos 30 dias. ®
.
