1 คะแนน โดย GN⁺ 2023-08-15 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • บริการลิงก์เชิญแบบกำหนดเอง Discord.io มีข้อมูลผู้ใช้ 760,000 รายรั่วไหลและถูกนำไปลงขายบนฟอรัมดาร์กเน็ต โดยทีมผู้ให้บริการก็ยืนยันการถูกเจาะแล้ว
  • จากการตรวจสอบตัวอย่างข้อมูล พบว่าอีเมลที่รั่วไหลเชื่อมโยงกับ บัญชี Discord จริง ทำให้มีความเป็นไปได้ว่าจะเกิดความเสียหายจริง ไม่ใช่แค่คำกล่าวอ้าง
  • Discord อย่างเป็นทางการระบุว่าไม่ได้เป็นพาร์ตเนอร์กับ Discord.io และได้เพิกถอน OAuth token ของผู้ใช้ที่เคยใช้ Discord.io เพื่อบล็อกสิทธิ์ของแอป
  • Discord.io ปิดบริการทั้งหมดภายใน 10 นาทีหลังรับรู้เหตุการณ์เจาะระบบ ณ วันที่ 14 สิงหาคม 2023 ตามเวลา CET และยกเลิก สมาชิกพรีเมียม เดิมทั้งหมด
  • ผู้ใช้ที่ได้รับผลกระทบควรตรวจสอบรหัสผ่านและเปิดใช้ 2FA เนื่องจากข้อมูลที่รั่วไหลอาจถูกนำไปใช้กับการฟิชชิง สแปม และกิจกรรมหลอกลวง

การยืนยันข้อมูลรั่วไหลของ Discord.io และการตอบสนองของ Discord

  • Discord.io เป็นแพลตฟอร์มที่เคยให้ผู้ใช้สร้างลิงก์เชิญ Discord แบบกำหนดเองได้ โดยในเวลานั้นเว็บไซต์ถูกปิดไปแล้วและตรวจสอบได้ผ่าน Archive.org snapshot เท่านั้น
  • บุคคลที่ยังไม่ทราบตัวตนนำข้อมูลของผู้ใช้ Discord.io จำนวน 760,000 รายไปลงขายบนฟอรัมดาร์กเน็ต และเรื่องนี้ถูกเผยแพร่ผ่าน Information Leaks Telegram channel ซึ่งเกี่ยวข้องกับบริการติดตามช่องโหว่ ข้อมูลรั่วไหล และทรัพยากรออนไลน์ที่ใช้หลอกลวงจากรัสเซีย
  • ผู้ขายได้นำตัวอย่างข้อมูลมาแสดงเพื่อยืนยันความน่าเชื่อถือของข้อมูล และผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์ประเมินว่าข้อมูลล็อกอินตัวอย่างตรงกับผู้ใช้ Discord จริง
    • มีการยืนยันว่าอีเมลที่รั่วไหลเชื่อมโยงกับบัญชี Discord จริงผ่านการทดสอบกู้คืนรหัสผ่านหลายครั้ง
  • โฆษกของ Discord อย่างเป็นทางการระบุว่า Discord ไม่ได้เป็นพาร์ตเนอร์กับ Discord.io ไม่ได้แชร์ข้อมูลผู้ใช้ให้ Discord.io โดยตรง และไม่สามารถเข้าถึงหรือควบคุมข้อมูลที่ Discord.io เก็บไว้ได้
  • Discord ได้เพิกถอน OAuth token ของผู้ใช้ Discord ที่เคยใช้ Discord.io ทำให้แอปดังกล่าวไม่สามารถดำเนินการแทนผู้ใช้ได้จนกว่าจะมีการยืนยันตัวตนใหม่อีกครั้ง
  • เพื่อปกป้องบัญชี แนะนำให้เปิดใช้ 2-step verification และพิจารณาเปิดการยืนยันผ่าน SMS

ขอบเขตของการเจาะระบบและกำหนดการปิดบริการ

  • ทีม Discord.io ยืนยันเหตุการณ์เจาะระบบอย่างเป็นทางการผ่าน Discord พร้อมเปิดเผยลำดับเหตุการณ์ ข้อมูลที่รั่วไหล และมาตรการที่ตามมา
  • ไทม์ไลน์ของเหตุการณ์

    • วันจันทร์ที่ 14 สิงหาคม 2023 เวลา 12:51 AM CET: ตัวอย่างฐานข้อมูลผู้ใช้ Discord.io ปรากฏบน BreachForums
    • วันจันทร์ที่ 14 สิงหาคม 2023 เวลา 4:30 PM CET: ทีม Discord.io รับรู้เหตุการณ์เจาะระบบ
    • วันจันทร์ที่ 14 สิงหาคม 2023 เวลา 4:36 PM CET: ยืนยันได้ว่าเหตุการณ์เจาะระบบเป็นเรื่องจริง
    • วันจันทร์ที่ 14 สิงหาคม 2023 เวลา 4:40 PM CET: เริ่มปิดบริการ Discord.io ทั้งหมด

ข้อมูลที่รั่วไหลและความเสี่ยงที่ยังคงอยู่

  • ข้อมูลอ่อนไหวที่อาจรั่วไหล

    • ชื่อผู้ใช้ตอนสมัครหรือชื่อผู้ใช้ Discord ปัจจุบัน
    • Discord ID
    • ที่อยู่อีเมลที่เชื่อมกับบัญชี
    • ที่อยู่เรียกเก็บเงินที่ผู้ใช้บางรายให้ไว้ก่อนมีการใช้ระบบชำระเงิน Stripe
    • รหัสผ่านแบบ salted และ hashed ที่เกี่ยวข้องกับผู้ใช้ก่อนที่ Discord.io จะเปลี่ยนไปใช้การล็อกอินผ่าน Discord เท่านั้นตั้งแต่ปี 2018 เป็นหลัก
  • ข้อมูลที่ไม่อ่อนไหวซึ่งรั่วไหล

    • ID ผู้ใช้ภายในระบบ
    • รายละเอียดอวาตาร์
    • สถานะผู้ใช้ เช่น moderator, admin, has ads, banned, public
    • ยอดเหรียญและ streak ปัจจุบันของมินิเกมฟรี
    • API key ที่เกี่ยวข้องกับผู้ใช้จำนวนจำกัด
    • วันที่สมัคร วันที่ชำระเงินล่าสุด และวันหมดอายุสมาชิกพรีเมียม
  • ข้อมูลที่ยังปลอดภัยและคำแนะนำเพิ่มเติม

    • ข้อมูลทั้งหมดที่ไม่ได้ระบุไว้ในรายการข้อมูลรั่วไหล
    • รายละเอียดการชำระเงินที่จัดเก็บอย่างปลอดภัยกับพาร์ตเนอร์ Stripe และ PayPal
    • Discord.io ได้ยกเลิกสมาชิกพรีเมียมเดิมทั้งหมดแล้ว และจะติดต่อสมาชิกเป็นรายบุคคล
    • ณ การอัปเดตล่าสุด ทีม Discord.io ยังไม่สามารถติดต่อผู้ที่อยู่เบื้องหลังเหตุการณ์เจาะระบบได้ และยังยืนยันไม่ได้ว่าฐานข้อมูลถูกเผยแพร่ต่อสาธารณะแล้วหรือไม่
    • มีการให้รายการเซิร์ฟเวอร์ที่เคยใช้บริการ Discord.io แต่ลิงก์บางส่วนอาจเก่าหรือไม่มีการใช้งานแล้ว
    • สำหรับคำถามทั่วไปสามารถส่งไปที่ “Support” ของ helpdesk และกรณีอ่อนไหวให้ส่งไปที่ “Admin” โดยทีม Discord.io แจ้งว่าอาจไม่สามารถตอบทุกข้อความได้
    • ผู้ใช้แพลตฟอร์มควรเปลี่ยนรหัสผ่านทันทีและเปิดใช้ 2-step verification เพื่อเสริมความปลอดภัยของบัญชี

1 ความคิดเห็น

 
GN⁺ 2023-08-15
ความคิดเห็นบน Hacker News
  • โชคดีที่กังวลเรื่องแบบนี้อยู่แล้วเลยไม่ได้ใช้เว็บไซต์นี้
    ลิงก์สำหรับเข้าเซิร์ฟเวอร์ Discord ผ่าน Discord.io โผล่ขึ้นมาเป็นผลลัพธ์อันดับต้น ๆ ใน Google และผมก็กดเข้าไปโดยไม่รู้ว่าเป็นบริการของบุคคลที่สาม
    แต่ OAuth แสดงหน้าจอยืนยันว่า “กำลังจะเชื่อมต่อกับบริการบุคคลที่สามนี้และให้สิทธิ์เข้าถึงทั้งบัญชี” ผมเลยปฏิเสธทันที
    เป็นเรื่องน่าอับอายที่ ทีมกฎหมายและผู้บริหารของ Discord ไม่ได้ทำ due diligence ในจุดนี้เลย

    • ถ้า Discord ปล่อยให้เว็บไซต์นี้ใช้แบรนด์นี้และดำเนินงานมานานขนาดนี้ ก็สงสัยว่าไม่เสี่ยงเสียสิทธิ์เครื่องหมายการค้าเพราะไม่ได้บังคับใช้ จนเกิด trademark dilution หรือเปล่า
    • ถ้า Discord.io ใช้ OAuth เรื่องนี้ก็คงไม่ใช่ปัญหาใหญ่เป็นส่วนใหญ่
      เพราะ Discord สามารถทำให้โทเค็นเป็นโมฆะหรือเพิกถอนได้ง่าย และคงไม่มีข้อมูลรหัสผ่านอยู่ในมือ ไม่ว่าจะถูกแฮชไว้หรือไม่ก็ตาม
      แน่นอนว่าผมไม่ได้ใช้ discord.io ก็อาจพลาดอะไรไปก็ได้
    • สงสัยว่า Discord ให้สิทธิ์เข้าถึงอย่างอื่นจริง ๆ นอกจากรู้ที่อยู่อีเมล รูปบัญชี และชื่อหรือไม่
      Google Login โดยปกติก็ขอหรือให้ข้อมูลประมาณนี้ และถ้าขอสิทธิ์เกินกว่านั้นก็ดูผิดปกติ
  • ขออ้างอิงไว้ว่า discord.io !== discord.com แอปแชต และเป็นบริการที่เกี่ยวข้องกันแต่แยกต่างหาก

    • โดยปกติผมรู้สึกไม่ค่อยชอบที่ผลิตภัณฑ์จากบุคคลที่สามสำหรับผลิตภัณฑ์หนึ่ง ๆ ต้องทำตามแนวทางแบรนด์อย่างเข้มงวดเพื่อไม่ให้ดูเหมือนเป็นทางการ
      เช่นกรณีไคลเอนต์ Reddit ของบุคคลที่สามต้องเปลี่ยนชื่อจาก “Reddit Sync” เป็น “Sync for Reddit” และห้ามใช้ตัวละคร Snoo ในแบรนด์
      แต่กรณีนี้ไม่เข้าใจว่าทำไม Discord ถึงมองว่าการใช้แบรนด์แบบนี้โอเค มันดูโจ่งแจ้งเหมือนเป็นโดเมนทางการทางเลือกของบริการตัวเอง
      ถ้าค้นหา “what is discord.io” ก็จะเจอโพสต์ Reddit ที่สับสนอยู่หลายโพสต์ว่ามัน legit/safe หรือไม่
    • และ discord.com !== discordapp.com หรือ discord.gg ด้วย
  • ถ้ามันเป็น “อินเทอร์เฟซของบุคคลที่สาม ที่ทำมาสำหรับเมสเซนเจอร์ Discord ที่ใช้กันแพร่หลาย” ก็คิดว่าน่าจะขัดกับข้อกำหนดการใช้งานของ Discord อย่างชัดเจนไม่ใช่หรือ
    น่าแปลกใจที่ Discord ไม่ได้ปิดมันเอง

    • แค่โดเมน discord.io อย่างเดียวก็น่าแปลกใจแล้วที่ยังไม่พอเป็นเหตุให้ปิด
    • หลัก ๆ แล้วมันเป็นวิธีให้เซิร์ฟเวอร์ที่ไม่ใช่พาร์ตเนอร์มีลิงก์เชิญถาวรและอ่านง่าย
      เป็นทางเลือกก่อนที่ฟีเจอร์แบบนี้จะมีให้ใช้อย่างเป็นทางการ หรือก่อนที่จะต้องให้ผู้ใช้แบบจ่ายเงิน boost เซิร์ฟเวอร์ถึงจะทำได้
      จริง ๆ แล้วมันไม่ใช่อินเทอร์เฟซของบุคคลที่สามที่จำลองไคลเอนต์ Discord ถ้าไม่ได้มีการเปลี่ยนแปลงเมื่อเร็ว ๆ นี้
  • ถ้าไม่เคยใช้บริการ Discord ของบุคคลที่สาม แบบนี้ถือว่าปลอดภัยไหม
    ตอนแรกตกใจ แต่พอคิดดูว่ามีอะไรให้เสียบ้าง ก็ไม่มีอะไรเลย ไม่มีอะไรที่ทดแทนไม่ได้ และก็ไม่มีคอนแทกต์ที่ต้องรักษาไว้ต่อเนื่อง

    • ถ้ามีใครเข้าถึงบัญชีได้ เขาก็อ่านทุกข้อความได้ และคงอาจ แอบอ้างเป็นผม ได้ด้วย
  • ขอถามแบบมือใหม่ เว็บไซต์ที่โพสต์ข้อมูลแบบนี้คือที่ไหนกัน ไม่เคยเห็นเลย

    • ไม่เข้าใจว่าทำไมคำตอบอื่น ๆ ถึงทำตัวลึกลับและเหมือนเล่นบทบาทสมมติกันหมด
      https://discord.io/ ถูกเปลี่ยนเป็นประกาศปิดบริการแล้ว และในนั้นระบุโดยตรงว่าข้อมูล credential ถูกขายที่ไหน ถ้าเอาชื่อนั้นไปค้นใน Google ก็ขึ้นเป็นผลลัพธ์แรก
      credential ที่รั่วไหลถูกขายบน เว็บไซต์สาธารณะ ที่ถูกจัดทำดัชนีโดยเสิร์ชเอนจินด้วย ไม่ใช่คลับ TOR สำหรับแฮกเกอร์ Anonymous ที่ต้องผ่านพร็อกซีสี่ชั้นอะไรแบบนั้น
      เสริมอีกว่า ตอนที่ Microsoft, Google, Krebs พูดถึง “APT” “รัสเซีย” “ขั้นสูง” ตัวใหม่ ในเก้าจากสิบครั้งก็มักเป็นเด็กที่โพสต์ในฟอรัมแบบนี้แล้วเอา credential เก่ามาขายต่อ หรือเป็น fork ของ Mirai หรือเป็นภัยคุกคามที่ไม่น่าเชื่อถือเลย
      ของพวกนี้เท่น้อยกว่าที่ผู้คนพยายามห่อมันไว้มาก
    • มี ฟอรัมดาร์กเน็ต หลายแห่ง แน่นอนว่าไม่น่าจะอยู่บนเว็บทั่วไป
      มีเสิร์ชเอนจินที่ครอบคลุมเรื่องพวกนั้นด้วย แต่สัดส่วนหลอกลวงต่อของจริงน่าจะประมาณ 99:1 ไม่รู้เหมือนกันว่าจะตรวจสอบได้อย่างไรว่าสิ่งที่เห็นเป็นของจริงหรือเปล่า
    • มีไดเรกทอรีของเว็บไซต์พวกนั้นส่วนใหญ่ แต่แน่นอนว่าคงไม่เอามาโพสต์ด้วยชื่อจริง
      ถึงอย่างนั้นถ้าอยู่สายไซเบอร์ซีเคียวริตี้ ก็น่าจะเคยเจอเว็บไซต์เหล่านี้แน่ ๆ และยังมีไซต์ที่พูดถึง APT ล่าสุดที่พบจนถึงเดือนนี้ด้วย
  • อยากถามคนที่เคยใช้ discord.io ว่า เสน่ห์ที่ดีกว่า discord.gg คืออะไร น่าเสียดายที่เว็บล่มไปแล้วเลยดูแม้แต่ข้อความการตลาดของเขาเองไม่ได้

  • ถ้ามีฐานข้อมูลแต่ไม่มี ความรับผิดชอบด้านความปลอดภัยของข้อมูล การถูกเจาะก็ย่อมเกิดขึ้น
    ไม่มีอะไรใหม่

  • จะรู้ได้อย่างไรว่าผมได้รับผลกระทบไหม ผมใช้ Discord อยู่ แต่จำไม่ได้ว่าสมัครอย่างไร น่าจะเข้าจากผลการค้นหาแรก ๆ หรืออาจเป็นโฆษณาก็ได้

    • นี่ไม่ใช่แอป/เว็บไซต์ Discord หลัก ดังนั้นน่าจะไม่ได้รับผลกระทบ
      แต่ก็ตรวจสอบได้จากลิงก์ด้านล่าง คนคนนั้นได้รับบริจาคชุดข้อมูลที่ถูกแคร็กจำนวนมาก
      https://haveibeenpwned.com/
      Google เองก็ดูเหมือนมีทีมงานไปไล่ดูไซต์ onion เพื่อซื้อชุดข้อมูลที่ถูกแคร็ก แล้วนำมาเทียบกับบริการของตนเองเพื่อตรวจสอบว่ามีผู้ใช้ที่ได้รับผลกระทบหรือไม่
  • ตราบใดที่ยังมีข้อมูล ก็จะยังมี ข้อมูลรั่วไหล ต่อไป

  • ในฐานะผู้ใช้ Discord ควรกังวลแค่ไหน

    • ดูเหมือนว่าต้องเคยเชื่อมต่อบัญชี Discord ของตัวเองกับแอปแยกที่เกี่ยวข้องกับ Discord
      ถ้าไม่ได้ทำแบบนั้น ก็คิดว่าบัญชีน่าจะไม่ได้ถูกเจาะ