Un pirate informatique a mis en vente sur le Dark Web les données personnelles de 760 000 utilisateurs du service Discord.io. Le site a fermé ses portes pour une durée indéterminée et assure qu’au pire, seuls des éléments potentiellement sensibles ont été dérobés.
Vous connaissez certainement le service de messagerie instantanée Discord. Il s’est imposé au fil du temps comme une plateforme de choix pour les développeurs de jeux vidéo, mais pas seulement. Autour de lui gravite tout un tas de services tiers, comme Discord.io. Il propose de créer des invitations personnalisées aux salons de discussion Discord. On apprend aujourd’hui que les données personnelles de 760 000 utilisateurs du site ont été volées et mises en vente sur le Dark Web.
Précision importante : Discord.io n’est pas affilié à Discord. En revanche, les noms d’utilisateur et mots de passe utilisés sur l’un sont souvent les mêmes que sur l’autre. Les tests effectués pour vérifier l’authenticité des données vendues montrent que les adresses électroniques de Discord.io sont associées à des comptes Discord. Le risque est donc réel si vous avez utilisé le service et fourni les mêmes informations que sur Discord.
Les données volées de 760 000 utilisateurs de Discord.io sont en vente sur le Dark Web
Le site Discord.io a fermé pour le moment et ses salles ont été retirées de Discord. De son côté, la plateforme a révoqué les clés d’accès du service, ce qui signifie que personne ne peut agir au nom des victimes jusqu’à ce qu’elles se reconnectent. C’est le hacker Akhirah qui l’a mis en vente sur le forum Dark Web Breached. Il explique qu’il ne fait pas cela pour l’argent, mais parce qu’il pense que Discord.io héberge des liens vers des contenus illégaux. Il souhaite que les responsables du site le contactent pour lui confirmer qu’ils supprimeront le contenu en question. En échange, le pirate supprimera les données de la vente.
Parmi celles-ci, on retrouve le pseudo, l’identifiant Discord, l’adresse email ou encore le mot de passe “salted and chopped” (salé et haché, donc pas le vrai mot de passe). Si vous êtes un utilisateur de Discord.io, nous vous recommandons de changer votre mot de passe sur Discord et tout autre service dans le cas où vous avez le même et d’activer l’authentification à deux facteurs. Dans l’état actuel des choses, il ne devrait pas y avoir de répercussions sérieuses. Soyez toutefois vigilant si vous recevez des courriels suspects dans les prochains jours.
Voici ce que Discord.io a publié concernant cet évènement :
Discord.io a subi une violation de données
Dans la nuit du 14 août, Discord.io a été victime d’une importante violation de données, qui a entraîné la fuite du contenu de notre base de données vers des acteurs inconnus. Nous avons été informés de la faille plus tard dans la journée, et après avoir confirmé le contenu de la faille, nous avons décidé de fermer tous les services et opérations.
Que s’est-il passé ?
Nous enquêtons toujours sur la violation, mais nous pensons qu’elle a été causée par une vulnérabilité dans le code de notre site web, qui a permis à un pirate d’accéder à notre base de données. Le pirate a ensuite téléchargé l’intégralité de la base de données et l’a mise en vente sur un site tiers.
Quelles données ont été divulguées ?
Des informations non sensibles concernant votre compte :
- Votre identifiant interne
- Informations sur votre avatar
- Votre statut (modérateur/administrateur/avec annonces/banni/public/etc)
- Votre solde de pièces et votre score actuel dans notre mini-jeu gratuit.
- Votre clé API (elle ne donne pas accès à votre compte, et n’était disponible que pour moins d’une douzaine d’utilisateurs).
- Votre date d’inscription.
- La date de votre dernier paiement et la date d’expiration de votre abonnement premium.
Informations potentiellement sensibles concernant votre compte :
- Votre nom d’utilisateur : Soit celui que vous avez fourni lors de votre inscription, soit, pour la plupart d’entre vous, votre nom d’utilisateur Discord actuel.
- Votre identifiant Discord : Ces informations ne sont pas privées et peuvent être obtenues par toute personne partageant un serveur avec vous. Son inclusion dans la brèche signifie cependant que d’autres personnes pourraient être en mesure de relier votre compte Discord à une adresse e-mail donnée.
- Votre adresse électronique : Soit celle que vous avez fournie lors de votre inscription, soit, pour la plupart d’entre vous, votre adresse électronique Discord actuelle.
- Votre adresse de facturation : Cela ne devrait concerner qu’un petit nombre de personnes et correspond à l’adresse de facturation que vous nous avez donnée pour effectuer un achat sur notre site avant que nous n’utilisions Stripe.
- Votre mot de passe “salé et haché” : Cela ne devrait concerner qu’un petit nombre de personnes avant que nous ne proposions exclusivement Discord comme option de connexion (à partir de 2018). Bien que votre mot de passe ait été crypté selon les normes de l’industrie, s’il n’était pas unique, nous vous conseillons vivement de le mettre à jour sur tout autre site où il pourrait être similaire.
Discord.io ne stocke aucune information de paiement, et tous les paiements sont traités par PayPal et Stripe. Nous ne stockons aucune information de paiement sur nos serveurs et ces informations n’ont pas été divulguées.
Que faisons-nous à ce sujet ?
Nous avons décidé de fermer notre site jusqu’à nouvel ordre.
Nous continuerons d’enquêter sur les causes possibles de la violation et nous prendrons des mesures pour que cela ne se reproduise plus. Ces mesures comprendront une réécriture complète du code de notre site web, ainsi qu’une révision complète de nos pratiques en matière de sécurité.
Que devez-vous faire ?
Comme nous n’avons stocké que votre identifiant Discord, et non votre jeton d’authentification Discord, il n’est pas nécessaire de changer votre mot de passe ou de prendre d’autres mesures sur Discord.
Cependant, si vous vous êtes inscrit sur notre site avant 2018, en utilisant notre ancien enregistrement de nom d’utilisateur/mot de passe, nous vous conseillons vivement de changer votre mot de passe sur tout autre site qui aurait pu utiliser le même mot de passe.
Qu’en est-il de mon abonnement premium ?
Comme nous avons mis fin à toutes les opérations, nous avons également annulé tous les abonnements actifs à notre site. Vous ne serez donc plus facturé.
Si vous avez acheté un abonnement premium au cours des 30 derniers jours, nous vous rembourserons intégralement.
Veuillez nous contacter à l’adresse support@discord.io en indiquant votre nom d’utilisateur et l’adresse électronique que vous avez utilisée pour effectuer l’achat.
Nous procéderons au remboursement dans les plus brefs délais.
source : 01net