- บริการลิงก์เชิญแบบกำหนดเอง Discord.io มีข้อมูลผู้ใช้ 760,000 รายรั่วไหลและถูกนำไปลงขายบนฟอรัมดาร์กเน็ต โดยทีมผู้ให้บริการก็ยืนยันการถูกเจาะแล้ว
- จากการตรวจสอบตัวอย่างข้อมูล พบว่าอีเมลที่รั่วไหลเชื่อมโยงกับ บัญชี Discord จริง ทำให้มีความเป็นไปได้ว่าจะเกิดความเสียหายจริง ไม่ใช่แค่คำกล่าวอ้าง
- Discord อย่างเป็นทางการระบุว่าไม่ได้เป็นพาร์ตเนอร์กับ Discord.io และได้เพิกถอน OAuth token ของผู้ใช้ที่เคยใช้ Discord.io เพื่อบล็อกสิทธิ์ของแอป
- Discord.io ปิดบริการทั้งหมดภายใน 10 นาทีหลังรับรู้เหตุการณ์เจาะระบบ ณ วันที่ 14 สิงหาคม 2023 ตามเวลา CET และยกเลิก สมาชิกพรีเมียม เดิมทั้งหมด
- ผู้ใช้ที่ได้รับผลกระทบควรตรวจสอบรหัสผ่านและเปิดใช้ 2FA เนื่องจากข้อมูลที่รั่วไหลอาจถูกนำไปใช้กับการฟิชชิง สแปม และกิจกรรมหลอกลวง
การยืนยันข้อมูลรั่วไหลของ Discord.io และการตอบสนองของ Discord
- Discord.io เป็นแพลตฟอร์มที่เคยให้ผู้ใช้สร้างลิงก์เชิญ Discord แบบกำหนดเองได้ โดยในเวลานั้นเว็บไซต์ถูกปิดไปแล้วและตรวจสอบได้ผ่าน Archive.org snapshot เท่านั้น
- บุคคลที่ยังไม่ทราบตัวตนนำข้อมูลของผู้ใช้ Discord.io จำนวน 760,000 รายไปลงขายบนฟอรัมดาร์กเน็ต และเรื่องนี้ถูกเผยแพร่ผ่าน Information Leaks Telegram channel ซึ่งเกี่ยวข้องกับบริการติดตามช่องโหว่ ข้อมูลรั่วไหล และทรัพยากรออนไลน์ที่ใช้หลอกลวงจากรัสเซีย
- ผู้ขายได้นำตัวอย่างข้อมูลมาแสดงเพื่อยืนยันความน่าเชื่อถือของข้อมูล และผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์ประเมินว่าข้อมูลล็อกอินตัวอย่างตรงกับผู้ใช้ Discord จริง
- มีการยืนยันว่าอีเมลที่รั่วไหลเชื่อมโยงกับบัญชี Discord จริงผ่านการทดสอบกู้คืนรหัสผ่านหลายครั้ง
- โฆษกของ Discord อย่างเป็นทางการระบุว่า Discord ไม่ได้เป็นพาร์ตเนอร์กับ Discord.io ไม่ได้แชร์ข้อมูลผู้ใช้ให้ Discord.io โดยตรง และไม่สามารถเข้าถึงหรือควบคุมข้อมูลที่ Discord.io เก็บไว้ได้
- Discord ได้เพิกถอน OAuth token ของผู้ใช้ Discord ที่เคยใช้ Discord.io ทำให้แอปดังกล่าวไม่สามารถดำเนินการแทนผู้ใช้ได้จนกว่าจะมีการยืนยันตัวตนใหม่อีกครั้ง
- เพื่อปกป้องบัญชี แนะนำให้เปิดใช้ 2-step verification และพิจารณาเปิดการยืนยันผ่าน SMS
ขอบเขตของการเจาะระบบและกำหนดการปิดบริการ
- ทีม Discord.io ยืนยันเหตุการณ์เจาะระบบอย่างเป็นทางการผ่าน Discord พร้อมเปิดเผยลำดับเหตุการณ์ ข้อมูลที่รั่วไหล และมาตรการที่ตามมา
-
ไทม์ไลน์ของเหตุการณ์
- วันจันทร์ที่ 14 สิงหาคม 2023 เวลา 12:51 AM CET: ตัวอย่างฐานข้อมูลผู้ใช้ Discord.io ปรากฏบน BreachForums
- วันจันทร์ที่ 14 สิงหาคม 2023 เวลา 4:30 PM CET: ทีม Discord.io รับรู้เหตุการณ์เจาะระบบ
- วันจันทร์ที่ 14 สิงหาคม 2023 เวลา 4:36 PM CET: ยืนยันได้ว่าเหตุการณ์เจาะระบบเป็นเรื่องจริง
- วันจันทร์ที่ 14 สิงหาคม 2023 เวลา 4:40 PM CET: เริ่มปิดบริการ Discord.io ทั้งหมด
ข้อมูลที่รั่วไหลและความเสี่ยงที่ยังคงอยู่
-
ข้อมูลอ่อนไหวที่อาจรั่วไหล
- ชื่อผู้ใช้ตอนสมัครหรือชื่อผู้ใช้ Discord ปัจจุบัน
- Discord ID
- ที่อยู่อีเมลที่เชื่อมกับบัญชี
- ที่อยู่เรียกเก็บเงินที่ผู้ใช้บางรายให้ไว้ก่อนมีการใช้ระบบชำระเงิน Stripe
- รหัสผ่านแบบ salted และ hashed ที่เกี่ยวข้องกับผู้ใช้ก่อนที่ Discord.io จะเปลี่ยนไปใช้การล็อกอินผ่าน Discord เท่านั้นตั้งแต่ปี 2018 เป็นหลัก
-
ข้อมูลที่ไม่อ่อนไหวซึ่งรั่วไหล
- ID ผู้ใช้ภายในระบบ
- รายละเอียดอวาตาร์
- สถานะผู้ใช้ เช่น moderator, admin, has ads, banned, public
- ยอดเหรียญและ streak ปัจจุบันของมินิเกมฟรี
- API key ที่เกี่ยวข้องกับผู้ใช้จำนวนจำกัด
- วันที่สมัคร วันที่ชำระเงินล่าสุด และวันหมดอายุสมาชิกพรีเมียม
-
ข้อมูลที่ยังปลอดภัยและคำแนะนำเพิ่มเติม
- ข้อมูลทั้งหมดที่ไม่ได้ระบุไว้ในรายการข้อมูลรั่วไหล
- รายละเอียดการชำระเงินที่จัดเก็บอย่างปลอดภัยกับพาร์ตเนอร์ Stripe และ PayPal
- Discord.io ได้ยกเลิกสมาชิกพรีเมียมเดิมทั้งหมดแล้ว และจะติดต่อสมาชิกเป็นรายบุคคล
- ณ การอัปเดตล่าสุด ทีม Discord.io ยังไม่สามารถติดต่อผู้ที่อยู่เบื้องหลังเหตุการณ์เจาะระบบได้ และยังยืนยันไม่ได้ว่าฐานข้อมูลถูกเผยแพร่ต่อสาธารณะแล้วหรือไม่
- มีการให้รายการเซิร์ฟเวอร์ที่เคยใช้บริการ Discord.io แต่ลิงก์บางส่วนอาจเก่าหรือไม่มีการใช้งานแล้ว
- สำหรับคำถามทั่วไปสามารถส่งไปที่ “Support” ของ helpdesk และกรณีอ่อนไหวให้ส่งไปที่ “Admin” โดยทีม Discord.io แจ้งว่าอาจไม่สามารถตอบทุกข้อความได้
- ผู้ใช้แพลตฟอร์มควรเปลี่ยนรหัสผ่านทันทีและเปิดใช้ 2-step verification เพื่อเสริมความปลอดภัยของบัญชี
1 ความคิดเห็น
ความคิดเห็นบน Hacker News
โชคดีที่กังวลเรื่องแบบนี้อยู่แล้วเลยไม่ได้ใช้เว็บไซต์นี้
ลิงก์สำหรับเข้าเซิร์ฟเวอร์ Discord ผ่าน Discord.io โผล่ขึ้นมาเป็นผลลัพธ์อันดับต้น ๆ ใน Google และผมก็กดเข้าไปโดยไม่รู้ว่าเป็นบริการของบุคคลที่สาม
แต่ OAuth แสดงหน้าจอยืนยันว่า “กำลังจะเชื่อมต่อกับบริการบุคคลที่สามนี้และให้สิทธิ์เข้าถึงทั้งบัญชี” ผมเลยปฏิเสธทันที
เป็นเรื่องน่าอับอายที่ ทีมกฎหมายและผู้บริหารของ Discord ไม่ได้ทำ due diligence ในจุดนี้เลย
เพราะ Discord สามารถทำให้โทเค็นเป็นโมฆะหรือเพิกถอนได้ง่าย และคงไม่มีข้อมูลรหัสผ่านอยู่ในมือ ไม่ว่าจะถูกแฮชไว้หรือไม่ก็ตาม
แน่นอนว่าผมไม่ได้ใช้ discord.io ก็อาจพลาดอะไรไปก็ได้
Google Login โดยปกติก็ขอหรือให้ข้อมูลประมาณนี้ และถ้าขอสิทธิ์เกินกว่านั้นก็ดูผิดปกติ
ขออ้างอิงไว้ว่า discord.io !== discord.com แอปแชต และเป็นบริการที่เกี่ยวข้องกันแต่แยกต่างหาก
เช่นกรณีไคลเอนต์ Reddit ของบุคคลที่สามต้องเปลี่ยนชื่อจาก “Reddit Sync” เป็น “Sync for Reddit” และห้ามใช้ตัวละคร Snoo ในแบรนด์
แต่กรณีนี้ไม่เข้าใจว่าทำไม Discord ถึงมองว่าการใช้แบรนด์แบบนี้โอเค มันดูโจ่งแจ้งเหมือนเป็นโดเมนทางการทางเลือกของบริการตัวเอง
ถ้าค้นหา “what is discord.io” ก็จะเจอโพสต์ Reddit ที่สับสนอยู่หลายโพสต์ว่ามัน legit/safe หรือไม่
ถ้ามันเป็น “อินเทอร์เฟซของบุคคลที่สาม ที่ทำมาสำหรับเมสเซนเจอร์ Discord ที่ใช้กันแพร่หลาย” ก็คิดว่าน่าจะขัดกับข้อกำหนดการใช้งานของ Discord อย่างชัดเจนไม่ใช่หรือ
น่าแปลกใจที่ Discord ไม่ได้ปิดมันเอง
discord.ioอย่างเดียวก็น่าแปลกใจแล้วที่ยังไม่พอเป็นเหตุให้ปิดเป็นทางเลือกก่อนที่ฟีเจอร์แบบนี้จะมีให้ใช้อย่างเป็นทางการ หรือก่อนที่จะต้องให้ผู้ใช้แบบจ่ายเงิน boost เซิร์ฟเวอร์ถึงจะทำได้
จริง ๆ แล้วมันไม่ใช่อินเทอร์เฟซของบุคคลที่สามที่จำลองไคลเอนต์ Discord ถ้าไม่ได้มีการเปลี่ยนแปลงเมื่อเร็ว ๆ นี้
ถ้าไม่เคยใช้บริการ Discord ของบุคคลที่สาม แบบนี้ถือว่าปลอดภัยไหม
ตอนแรกตกใจ แต่พอคิดดูว่ามีอะไรให้เสียบ้าง ก็ไม่มีอะไรเลย ไม่มีอะไรที่ทดแทนไม่ได้ และก็ไม่มีคอนแทกต์ที่ต้องรักษาไว้ต่อเนื่อง
ขอถามแบบมือใหม่ เว็บไซต์ที่โพสต์ข้อมูลแบบนี้คือที่ไหนกัน ไม่เคยเห็นเลย
https://discord.io/ ถูกเปลี่ยนเป็นประกาศปิดบริการแล้ว และในนั้นระบุโดยตรงว่าข้อมูล credential ถูกขายที่ไหน ถ้าเอาชื่อนั้นไปค้นใน Google ก็ขึ้นเป็นผลลัพธ์แรก
credential ที่รั่วไหลถูกขายบน เว็บไซต์สาธารณะ ที่ถูกจัดทำดัชนีโดยเสิร์ชเอนจินด้วย ไม่ใช่คลับ TOR สำหรับแฮกเกอร์ Anonymous ที่ต้องผ่านพร็อกซีสี่ชั้นอะไรแบบนั้น
เสริมอีกว่า ตอนที่ Microsoft, Google, Krebs พูดถึง “APT” “รัสเซีย” “ขั้นสูง” ตัวใหม่ ในเก้าจากสิบครั้งก็มักเป็นเด็กที่โพสต์ในฟอรัมแบบนี้แล้วเอา credential เก่ามาขายต่อ หรือเป็น fork ของ Mirai หรือเป็นภัยคุกคามที่ไม่น่าเชื่อถือเลย
ของพวกนี้เท่น้อยกว่าที่ผู้คนพยายามห่อมันไว้มาก
มีเสิร์ชเอนจินที่ครอบคลุมเรื่องพวกนั้นด้วย แต่สัดส่วนหลอกลวงต่อของจริงน่าจะประมาณ 99:1 ไม่รู้เหมือนกันว่าจะตรวจสอบได้อย่างไรว่าสิ่งที่เห็นเป็นของจริงหรือเปล่า
ถึงอย่างนั้นถ้าอยู่สายไซเบอร์ซีเคียวริตี้ ก็น่าจะเคยเจอเว็บไซต์เหล่านี้แน่ ๆ และยังมีไซต์ที่พูดถึง APT ล่าสุดที่พบจนถึงเดือนนี้ด้วย
อยากถามคนที่เคยใช้ discord.io ว่า เสน่ห์ที่ดีกว่า discord.gg คืออะไร น่าเสียดายที่เว็บล่มไปแล้วเลยดูแม้แต่ข้อความการตลาดของเขาเองไม่ได้
ดู archive ของเว็บไซต์ได้ที่นี่: https://web.archive.org/web/20220329132537/https://discord.i...
ถ้ามีฐานข้อมูลแต่ไม่มี ความรับผิดชอบด้านความปลอดภัยของข้อมูล การถูกเจาะก็ย่อมเกิดขึ้น
ไม่มีอะไรใหม่
จะรู้ได้อย่างไรว่าผมได้รับผลกระทบไหม ผมใช้ Discord อยู่ แต่จำไม่ได้ว่าสมัครอย่างไร น่าจะเข้าจากผลการค้นหาแรก ๆ หรืออาจเป็นโฆษณาก็ได้
แต่ก็ตรวจสอบได้จากลิงก์ด้านล่าง คนคนนั้นได้รับบริจาคชุดข้อมูลที่ถูกแคร็กจำนวนมาก
https://haveibeenpwned.com/
Google เองก็ดูเหมือนมีทีมงานไปไล่ดูไซต์ onion เพื่อซื้อชุดข้อมูลที่ถูกแคร็ก แล้วนำมาเทียบกับบริการของตนเองเพื่อตรวจสอบว่ามีผู้ใช้ที่ได้รับผลกระทบหรือไม่
ตราบใดที่ยังมีข้อมูล ก็จะยังมี ข้อมูลรั่วไหล ต่อไป
ในฐานะผู้ใช้ Discord ควรกังวลแค่ไหน
ถ้าไม่ได้ทำแบบนั้น ก็คิดว่าบัญชีน่าจะไม่ได้ถูกเจาะ