1 puan yazan GN⁺ 2023-08-15 | 1 yorum | WhatsApp'ta paylaş
  • Discord için özel davet bağlantısı hizmeti Discord.io’da 760.000 kullanıcının verisi sızdırıldı ve darknet forumlarında satışa çıkarıldı; hizmetin işletme ekibi de ihlali doğruladı
  • Örnek veriler üzerinde yapılan doğrulamada sızdırılan e-postaların gerçek Discord hesapları ile bağlantılı olduğu görüldü; bu da iddianın ötesinde gerçek zarar ihtimalini artırıyor
  • Resmî Discord, Discord.io ile iş ortaklığı bulunmadığını belirtti ve Discord.io’yu kullanan kullanıcıların OAuth token’larını iptal ederek uygulama izinlerini engelledi
  • Discord.io, 14 Ağustos 2023 CET itibarıyla ihlali öğrendikten 10 dakika sonra tüm hizmetlerini kapattı ve mevcut premium abonelikleri de iptal etti
  • Etkilenen kullanıcıların parolalarını kontrol etmesi ve 2FA’yı etkinleştirmesi gerekiyor; sızdırılan veriler kimlik avı, spam ve aldatıcı faaliyetlerde kötüye kullanılabilir

Discord.io sızıntısının doğrulanması ve Discord’un yanıtı

  • Discord.io, kullanıcıların özel kişisel Discord davet bağlantıları oluşturmasını sağlayan bir platformdu; o sırada site yayından kalkmıştı ve yalnızca Archive.org anlık görüntüsü üzerinden görülebiliyordu
  • Kimliği belirsiz bir kişi, 760.000 Discord.io kullanıcısına ait verileri bir darknet forumunda satış listesine koydu; bu durum, Rusya merkezli güvenlik açığı, veri sızıntısı ve dolandırıcılık amaçlı çevrimiçi kaynak izleme hizmetiyle ilişkili Information Leaks Telegram kanalı üzerinden duyuldu
  • Satıcı, verilerin gerçekliğini göstermek için örnekler sundu; siber güvenlik uzmanları da örnek oturum açma bilgilerinin gerçek Discord kullanıcılarıyla eşleştiğini değerlendirdi
    • Sızdırılan e-posta adreslerinin gerçek Discord hesaplarıyla bağlantılı olup olmadığı, birden fazla parola kurtarma testiyle doğrulandı
  • Resmî Discord sözcüsü, Discord’un Discord.io ile iş ortaklığı yapmadığını, kullanıcı bilgilerini Discord.io ile doğrudan paylaşmadığını ve Discord.io’nun sakladığı bilgilere erişemediğini ya da bunları kontrol edemediğini belirtti
  • Discord, Discord.io’yu kullanan Discord kullanıcılarının OAuth token’larını iptal etti; böylece ilgili uygulama, kullanıcı yeniden kimlik doğrulaması yapana kadar kullanıcı adına işlem gerçekleştiremeyecek
  • Hesap koruma önlemi olarak iki aşamalı kimlik doğrulamanın etkinleştirilmesi ve SMS doğrulamasının gözden geçirilmesi önerildi

İhlalin kapsamı ve hizmet kapatma takvimi

  • Discord.io ekibi, ihlali Discord üzerinde resmen doğruladı; olayın seyrini, sızdırılan verileri ve sonraki adımları açıkladı
  • Olay zaman çizelgesi

    • 14 Ağustos 2023 Pazartesi 12:51 AM CET: Discord.io kullanıcı veritabanının önizlemesi BreachForums’ta göründü
    • 14 Ağustos 2023 Pazartesi 4:30 PM CET: Discord.io ekibi ihlalden haberdar oldu
    • 14 Ağustos 2023 Pazartesi 4:36 PM CET: İhlalin gerçekliği doğrulandı
    • 14 Ağustos 2023 Pazartesi 4:40 PM CET: Tüm Discord.io hizmetleri kapatılmaya başlandı

Sızdırılan bilgiler ve devam eden riskler

  • Potansiyel olarak hassas sızdırılan bilgiler

    • Kayıt sırasındaki kullanıcı adı veya mevcut Discord kullanıcı adı
    • Discord ID
    • Hesaba bağlı e-posta adresi
    • Stripe ödeme sistemi devreye alınmadan önce bazı kullanıcıların sağladığı fatura adresi
    • Ağırlıklı olarak Discord.io’nun 2018’den itibaren yalnızca Discord ile giriş kullanmaya başlamasından önceki kullanıcılarla ilgili salted ve hashed parolalar
  • Sızdırılan hassas olmayan bilgiler

    • Dahili kullanıcı ID’si
    • Avatar ayrıntıları
    • moderator, admin, has ads, banned, public gibi kullanıcı durumları
    • Ücretsiz mini oyundaki coin bakiyesi ve mevcut streak
    • Sınırlı sayıda kullanıcıyla ilişkili API anahtarları
    • Kayıt tarihi, son ödeme tarihi, premium üyelik bitiş tarihi
  • Güvende kalan veriler ve takip yönergeleri

    • Sızıntı listesinde belirtilmeyen tüm bilgiler
    • Stripe ve PayPal iş ortaklarında güvenli şekilde saklanan ödeme ayrıntıları
    • Discord.io, mevcut tüm premium abonelikleri iptal etti ve abonelerle ayrı ayrı iletişime geçecek
    • Son güncelleme itibarıyla Discord.io ekibi, ihlali gerçekleştiren tarafla temas kuramadı ve veritabanının herkese açık şekilde paylaşılıp paylaşılmadığını da doğrulayamadı
    • Discord.io hizmetini kullanmış sunucuların listesi sağlandı; ancak eski veya etkin olmayan bağlantılar içerebilir
    • Genel sorular için helpdesk’te “Support”, hassas konular için “Admin” üzerinden talep oluşturulabileceği; Discord.io ekibinin tüm mesajlara yanıt veremeyebileceği belirtildi
    • Platform kullanıcıları, hesap güvenliğini güçlendirmek için derhal parolalarını değiştirmeli ve iki aşamalı kimlik doğrulamayı etkinleştirmeli

1 yorum

 
GN⁺ 2023-08-15
Hacker News yorumları
  • Neyse ki böyle bir şeyden endişe ettiğim için bu web sitesini kullanmamıştım.
    Discord.io üzerinden bir Discord sunucusuna girme bağlantısı Google’da üst sıralarda çıkmıştı; üçüncü taraf bir hizmet olduğunu bilmeden tıklamıştım.
    Ama OAuth, “bu üçüncü taraf hizmete bağlanmak ve hesabın tamamına erişim izni vermek istiyor” şeklinde bir onay ekranı gösterince hemen reddettim.
    Discord’un hukuk ekibi ve yönetiminin bu konuda hiç durum tespiti yapmamış olması utanç verici.

    • Discord bu web sitesinin bu markayı kullanarak uzun süre faaliyet göstermesine izin verdiyse, buna karşı işlem yapmayarak marka sulanması nedeniyle marka hakkını kaybetme riski de yok mu diye düşünüyorum.
    • Discord.io OAuth kullandıysa bu büyük ölçüde ciddi bir sorun olmazdı.
      Çünkü Discord token’ları kolayca geçersiz kılabilir veya iptal edebilir; parola verilerine de, hash’li olup olmamasından bağımsız olarak, sahip olmazdı.
      Elbette discord.io kullanmadığım için bir şeyi kaçırıyor olabilirim.
    • Discord’un e-posta adresi, hesap fotoğrafı ve adı bilmek dışında gerçekten başka erişim izinleri verip vermediğini merak ediyorum.
      Google ile giriş de varsayılan olarak aşağı yukarı bunu ister veya sağlar; bundan fazlasını istemesi anormal görünür.
  • Not: discord.io !== discord.com sohbet uygulaması; ilişkili ama ayrı bir hizmet.

    • Normalde bir ürün için yapılan üçüncü taraf ürünlerin resmî gibi görünmemesi amacıyla katı marka yönergelerine uymak zorunda olmasını biraz kötü bulurum.
      Örneğin üçüncü taraf Reddit istemcilerinin adlarını “Reddit Sync”ten “Sync for Reddit”e değiştirmek zorunda kalması ve Snoo karakterini markalamada kullanmalarına izin verilmemesi gibi.
      Ama bu durumda Discord’un bu markalamayı neden sorun etmediğini anlamıyorum. Kendi hizmetinin alternatif resmî alan adı gibi fazlasıyla açık görünüyor.
      “what is discord.io” diye aratınca meşru/güvenli olup olmadığını soran epey kafa karıştırıcı Reddit gönderisi de çıkıyor.
    • Ayrıca discord.com !== discordapp.com ya da discord.gg de değil.
  • “Yaygın kullanılan Discord mesajlaşma uygulamasına yönelik üçüncü taraf arayüz” ise bunun Discord kullanım şartlarına açıkça aykırı olması gerekmez mi?
    Discord’un doğrudan kapatmamış olması şaşırtıcı.

    • Sırf discord.io alan adının bile kapatma gerekçesi sayılmamış olması şaşırtıcı.
    • Esas olarak partner olmayan sunucuların kalıcı ve okunması kolay davet bağlantılarına sahip olmasının bir yoluydu.
      Bu özellik resmî olarak sunulmadan önce, yani ücretli kullanıcıların sunucuyu boost etmesi gerekmeden önceki bir alternatifti.
      Gerçekte Discord istemcisini yeniden üreten üçüncü taraf bir arayüz gibi bir şey değildi. Yakın zamanda değişmediyse tabii.
  • Hiç üçüncü taraf Discord hizmeti kullanmadıysam güvende miyim acaba?
    Bir an korktum ama kaybedecek ne var diye düşününce hiçbir şey yok. Yeri doldurulamaz bir şey yok, sürdürmeye değer kişiler de yok.

    • Biri hesaba erişirse tüm mesajları okuyabilir ve muhtemelen benim kimliğime bürünebilir gibi geliyor.
  • Acemi sorusu ama bu tür verilerin yayımlandığı web siteleri nereler? Hiç görmedim.

    • Diğer yanıtların neden bu kadar gizemli davranıp rol yaptığını anlamıyorum.
      https://discord.io/ kapanış duyurusuna dönmüş ve kimlik bilgilerinin nerede satıldığını orada doğrudan söylüyor. O adı Google’da aratırsanız ilk sonuç olarak çıkıyor.
      Sızdırılan kimlik bilgileri arama motorlarınca indekslenen herkese açık web sitelerinde de satılıyor. Dört kat proxy’den geçen Anonymous hacker’lara özel TOR kulübü falan değil.
      Ayrıca Microsoft, Google ve Krebs yeni bir “ileri düzey” “Rus” “APT”den bahsettiğinde de on olayın dokuzunda bu forumlarda gönderi atan birinin eski kimlik bilgilerini yeniden satması, bir Mirai fork’u ya da hiç güvenilir olmayan bir tehdit söz konusu oluyor.
      Bunlar insanların süsleyip anlattığından çok daha az havalı.
    • Birden fazla darknet forumu var. Doğal olarak normal web’de olmayacaktır.
      Bunları ele alan arama motorları da var ama dolandırıcılık ile gerçek oranı herhâlde 99:1 civarındadır. Gördüğünüz şeyin gerçek olduğunu nasıl doğrularsınız bilmiyorum.
    • Bu tür sitelerin çoğunun dizinine sahibim ama elbette gerçek adımla paylaşacak değilim.
      Yine de siber güvenlik alanındaysanız bu sitelerle mutlaka karşılaşmışsınızdır; bu ay kadar yakın zamanda keşfedilen en yeni APT’leri ele alan siteler de var.
  • discord.io kullananlara sormak isterim: discord.gg’ye göre daha iyi olan cazibesi neydi? Ne yazık ki site kapandığı için kendi pazarlama metnini bile göremiyoruz.

  • Bir veritabanı varsa ve veri güvenliği sorumluluğu yoksa ihlaller kaçınılmazdır.
    Yeni bir şey yok.

  • Etkilenip etkilenmediğimi nasıl anlayabilirim? Discord kullanıyorum ama nasıl kaydolduğumu hatırlamıyorum. Muhtemelen ilk arama sonucundan girmişimdir; reklam da olabilir.

    • Bu ana Discord uygulaması/site’si değil, o yüzden muhtemelen etkilenmemişsinizdir.
      Yine de aşağıdaki bağlantıdan kontrol edebilirsiniz. O kişi çok sayıda kırılmış veri paketini bağış olarak alıyor.
      https://haveibeenpwned.com/
      Google’ın da kendi personelinin onion sitelerini tarayıp kırılmış veri paketlerini satın aldığı ve kendi hizmetleriyle karşılaştırarak etkilenen kullanıcı olup olmadığını kontrol ettiği anlaşılıyor.
  • Veri olduğu sürece veri sızıntıları da devam edecek.

  • Bir Discord kullanıcısı olarak ne kadar endişelenmeliyim?

    • Görünüşe göre ayrı bir Discord bağlantılı uygulamaya kendi Discord hesabınızı bağlamış olmanız gerekiyordu.
      Bunu yapmadıysanız hesabınızın ele geçirilmemiş olduğunu düşünüyorum.