Datos de aproximadamente 760,000 cuentas de Discord.io fueron robadas, luego de que el servicio —ajeno a la plataforma de mensajería instantánea homónima— que permitía personalizar invitaciones fuera víctima de una filtración de datos.
Discord.io confirmó el martes el ciberataque en una carta publicada en su sitio. “La noche del 14 de agosto, sufrimos una importante violación de datos, lo que provocó que el contenido de nuestra base se filtrara a actores desconocidos”, admitió.
Ese mismo día, de acuerdo con un reporte de Bleeping Computer, una persona bajo el sobrenombre de “Akhirah” comenzó a ofrecer a la venta la base de datos Discord.io a través de BreachedForums —considerado el renacimiento de RaidForums— un sitio dedicado a la filtración de información robada.
El servicio añadió que tras confirmar el incidente, “decidimos cerrar todos los servicios y operaciones” hasta nuevo aviso.
Sobre lo que sucedió, Discord.io informó que su investigación continúa. Sin embargo, “creemos que fue causada por una vulnerabilidad en el código de nuestro sitio web, que permitió que un atacante obtuviera acceso a nuestra base de datos”.
Luego, añadió, “el atacante procedió a descargar la base de datos completa y la puso a la venta en un sitio de terceros”.
¿Qué datos se filtraron de Discord.io?
Aunque el ciberdelincuente anunció la base con la información de 31 campos, Discord.io confirmó que se filtraron datos de 12, la mayoría (siete) no críticos.
Entre los confidenciales están el nombre de usuario, el Discord ID, el correo electrónico, la dirección, así como la contraseña salt y hash.
Otros datos filtrados fueron el ID interno de usuario, el avatar, el estado (moderador, administrador, bloqueado, etcétera), el saldo de monedas y racha actual en el minijuego gratuito y la llave API —que aclaró no da acceso a la cuenta—.
Discord.io señaló que no almacena ninguna información de pago y todos estos se procesan a través de PayPal y Stripe, por lo que esta información no se filtró.
“No se trata de dinero”, argumenta ciberdelincuente
Como prueba del robo, el ciberdelincuente compartió cuatro registros de usuarios de la base de datos, que —aseguró— tenía un total de 760,000 registros. Interrogado por la publicación arriba mencionada, Akhirah explicó los motivos de la filtración.
“No se trata solo de dinero. Algunos de los servidores [comunidades dentro de Discord] que pasan por alto hablan de pedofilia y cosas similares, deberían incluirlos en la lista negra y no permitirlos”, alegó Akhirah.
Discord responde y revoca accesos
Consultado por el sitio Stack Diary, Discord señaló que no está afiliado a Discord.io. “No compartimos ninguna información de usuario con este directamente y no tenemos acceso ni control de la información bajo su custodia”.
La plataforma de mensajería instantánea reveló que “hemos revocado los tokens de autenticación para cualquier usuario de Discord que haya usado Discord.io, por lo que la aplicación ya no puede realizar acciones en nombre de esos usuarios hasta que se vuelvan a autenticar”.
Reiteró su compromiso en la protección de la privacidad y los datos de sus usuarios y les alentó a habilitar la autenticación de dos factores para ayudar a mantener sus cuentas protegidas e incluso considerar la autenticación por mensaje SMS.
