1 ポイント 投稿者 GN⁺ 2023-08-15 | 1件のコメント | WhatsAppで共有
  • カスタムDiscord招待リンクサービス Discord.io で76万人分のユーザーデータが流出し、ダークネットのフォーラムの販売リストに掲載されたことを受け、サービス運営チームも侵害を確認
  • サンプル検証では、流出したメールアドレスが実際の Discordアカウント に紐づいていることが確認され、単なる主張ではなく実被害の可能性が高まっている
  • 公式DiscordはDiscord.ioと提携しておらず、Discord.ioを利用したユーザーの OAuthトークン を失効させ、アプリの権限を遮断
  • Discord.ioは2023年8月14日CET基準で侵害認知から10分後にすべてのサービスを停止し、既存の プレミアム購読 も取り消し
  • 影響を受けたユーザーはパスワードを確認し、2FA を有効化する必要があり、流出データがフィッシング・スパム・欺瞞的活動に悪用されるおそれがある

Discord.ioの流出確認とDiscordの対応

  • Discord.io は、カスタムの個人向けDiscord招待リンクを作成できるプラットフォームで、当時サイトは停止しており、Archive.orgのスナップショット でのみ確認可能だった
  • 未確認の人物がDiscord.ioユーザー76万人分のデータをダークネットのフォーラムに販売リストとして掲載し、この事実はロシア系の脆弱性・データ流出・詐欺的オンラインリソース追跡サービスに関連する Information Leaks Telegramチャンネル を通じて知られた
  • 販売者はデータの真正性を示すためサンプルを提示し、サイバーセキュリティ専門家はサンプルのログイン情報が実際のDiscordユーザーと一致すると評価
    • 流出したメールアドレスが実際のDiscordアカウントに紐づいているかどうかは、複数のパスワード再設定テストで確認された
  • 公式Discordの広報担当者は、DiscordはDiscord.ioと提携しておらず、Discord.ioにユーザー情報を直接共有しておらず、Discord.ioが保管していた情報にアクセスも管理もできないと説明
  • DiscordはDiscord.ioを利用したDiscordユーザーの OAuthトークン を失効させ、当該アプリがユーザーの再認証前にユーザーの代理で操作を実行できないようにした
  • アカウント保護策として、2段階認証 とSMS認証の見直しを推奨

侵害範囲とサービス終了の時系列

  • Discord.ioチームはDiscord上で侵害を正式に確認し、事件の経過、流出データ、後続対応を公開
  • 事件のタイムライン

    • 2023年8月14日 月曜日 12:51 AM CET: Discord.ioユーザーデータベースのプレビューがBreachForumsに登場
    • 2023年8月14日 月曜日 4:30 PM CET: Discord.ioチームが侵害を認知
    • 2023年8月14日 月曜日 4:36 PM CET: 侵害の真正性を確認
    • 2023年8月14日 月曜日 4:40 PM CET: すべてのDiscord.ioサービスの停止を開始

流出した情報と残るリスク

  • 潜在的に機微な流出情報

    • 登録時のユーザー名、または現在のDiscordユーザー名
    • Discord ID
    • アカウントに紐づくメールアドレス
    • Stripe決済導入前に一部ユーザーが提供した請求先住所
    • 主に、Discord.ioが2018年以降Discordログインのみを使う前のユーザーに関する、ソルト付きかつハッシュ化されたパスワード
  • 流出した非機微情報

    • 内部ユーザーID
    • アバターの詳細情報
    • moderator、admin、has ads、banned、public などのユーザーステータス
    • 無料ミニゲームのコイン残高と現在のstreak
    • 限られた数のユーザーに関連するAPIキー
    • 登録日、最終決済日、プレミアム会員資格の有効期限
  • 安全に保たれたデータと追加案内

    • 流出一覧に明記されていないすべての情報
    • StripeおよびPayPalパートナーに安全に保存された決済情報
    • Discord.ioは既存のプレミアム購読をすべて取り消しており、購読者には個別に連絡する予定
    • 最終更新時点でDiscord.ioチームは侵害当事者と接触できておらず、データベースが公に共有されたかどうかも確認できていない
    • Discord.ioサービスを利用していたサーバーの一覧は提供されたが、古いリンクや非アクティブなリンクが含まれる可能性がある
    • 一般的な問い合わせはhelpdeskの「Support」、機微な案件は「Admin」に依頼できるが、Discord.ioチームはすべてのメッセージに返信できない可能性があると案内
    • プラットフォーム利用者は直ちにパスワードを変更し、2段階認証 を有効化してアカウントの安全性を高める必要がある

1件のコメント

 
GN⁺ 2023-08-15
Hacker News のコメント
  • 幸い、こういうことが心配でこのウェブサイトは使っていませんでした。
    Discord.io 経由で Discord サーバーに参加するリンクが Google の上位結果に出てきて、サードパーティーサービスだとも知らずにクリックしました。
    ところが OAuth が「このサードパーティーサービスに接続し、アカウント全体へのアクセス権を付与しようとしています」という確認画面を表示したので、すぐに拒否しました。
    Discord の法務チームと経営陣がこの点についてまったくデューデリジェンスをしていなかったのは恥ずべきことです。

    • Discord がこのウェブサイトにこのブランドを使わせたまま長く運営させていたのなら、取り締まらなかったことで商標の希釈化により商標権を失うリスクもあるのではないかと思います。
    • Discord.io が OAuth を使っていたのなら、これは概ね大きな問題ではなかったはずです。
      Discord はトークンを簡単に無効化または取り消しできるし、パスワードデータもハッシュ化の有無にかかわらず保持していなかったでしょうから。
      もちろん、discord.io を使っていないので何か見落としているかもしれません。
    • Discord が実際にメールアドレス、アカウント画像、名前を知る以外に、別のアクセス権限を与えるのか気になります。
      Google ログインも基本的に要求または提供するのはこの程度で、それ以上のアクセスを求めるなら異常に見えます。
  • 参考までに、discord.io !== discord.com のチャットアプリで、関連はありますが別サービスです。

    • 普段は、ある製品向けのサードパーティー製品が公式に見えないよう、厳格なブランドガイドラインに従わなければならないのは少し嫌だと思っています。
      たとえばサードパーティーの Reddit クライアントが「Reddit Sync」から「Sync for Reddit」のように名前を変えなければならなかったり、Snoo キャラクターをブランディングに使えなくしたりしたケースのように。
      しかしこの件では、Discord がなぜこのようなブランディングを問題視しなかったのか分かりません。自社サービスの代替公式ドメインのようにあからさまに見えます。
      「what is discord.io」で検索すると、正規/安全なのかを尋ねる混乱した Reddit 投稿もかなり出てきます。
    • そして discord.com !== discordapp.com でも discord.gg でもありません。
  • 「広く使われている Discord メッセンジャー向けのサードパーティーインターフェース」なら、Discord の利用規約に明示的に反しているのではないかと思います。
    Discord が自ら閉鎖しなかったのが驚きです。

    • discord.io というドメインだけでも閉鎖理由として十分ではなかったのが驚きです。
    • 主に非パートナーサーバーが永続的で読みやすい招待リンクを持つための手段でした。
      こうした機能が公式に提供される前、つまり有料ユーザーがサーバーをブーストしなければ使えなかった頃の代替手段でした。
      実際には Discord クライアントを再現したサードパーティーインターフェースのようなものではありませんでした。最近変わっていない限りは。
  • サードパーティーの Discord サービスを使ったことがなければ安全なのかなと思います。
    一瞬怖くなりましたが、何を失うのか考えてみると何もありません。代替不能なものもないし、維持し続けるべき連絡先もありません。

    • 誰かがアカウントにアクセスしたら、すべてのメッセージを読めるし、おそらく私になりすますこともできそうです。
  • 初歩的な質問ですが、こういうデータが投稿されるウェブサイトはどこにあるのでしょうか。一度も見たことがありません。

    • なぜ他の返信がみんなこんなに謎めかしたりロールプレイしたりしているのか分かりません。
      https://discord.io/ は閉鎖告知に変わっていて、そこで認証情報がどこで売られているかを直接言及しています。その名前を Google で検索すれば最初の結果に出ます。
      流出した認証情報は、検索エンジンにインデックスされる公開ウェブサイトでも売られています。4重プロキシを経由した Anonymous ハッカー専用の TOR クラブのようなものではありません。
      付け加えると、Microsoft、Google、Krebs が新たな「高度な」「ロシアの」「APT」について話すときも、十中八九はこうしたフォーラムに投稿する連中が古い認証情報を転売しているか、Mirai のフォークか、まったく信頼しがたい脅威であることが多いです。
      こういうものは、人々が装うほどずっと格好いいものではありません。
    • 複数のダークネットフォーラムがあります。当然、通常のウェブ上にはないでしょう。
      そういうものを扱う検索エンジンもありますが、詐欺と本物の比率は 99:1 くらいだと思います。見たものが本物かどうかをどう検証するのかは分かりません。
    • そうしたサイトの大半のディレクトリを持っていますが、当然ながら実名で投稿するつもりはありません。
      それでもサイバーセキュリティ分野にいるなら、こうしたサイトには間違いなく出会っているはずですし、今月までに発見された最新の APT を扱うサイトもあります。
  • discord.io を使っていた人に聞きたいのですが、discord.gg より優れていた魅力は何だったのでしょうか。残念ながらサイトが落ちていて、自社の宣伝文句すら見られません。

  • データベースがあってデータセキュリティ責任がなければ、侵害は起こるものです。
    何も新しいことではありません。

  • 自分が影響を受けたかどうかはどう分かるのでしょうか。Discord は使っていますが、どう登録したのか覚えていません。たぶん最初の検索結果から入ったと思いますが、広告だったかもしれません。

    • これはメインの Discord アプリ/サイトではないので、おそらく影響を受けていないでしょう。
      それでも下のリンクで確認できます。この人はクラックされたデータのまとまりを大量に寄付されています。
      https://haveibeenpwned.com/
      Google も自社の担当者が onion サイトを巡回してクラックされたデータのまとまりを買い集め、自社サービスと照合して影響を受けたユーザーがいるか確認しているようです。
  • データが存在する限り、データ流出も続くでしょう。

  • Discord ユーザーとして、どれくらい心配すべきでしょうか?

    • 別の Discord 関連アプリに自分の Discord アカウントを連携している必要があったようです。
      そうしていなければ、アカウントは侵害されていないと思います。