Un pirate informatique a mis en vente sur le Dark Web les donnes personnelles de 760 000 utilisateurs du service Discord.io. Le site a ferm ses portes pour une dure indtermine et assure qu’au pire, seuls des lments potentiellement sensibles ont t drobs.
Vous connaissez certainement le service de messagerie instantane Discord. Il s’est impos au fil du temps comme une plateforme de choix pour les dveloppeurs de jeux vido, mais pas seulement. Autour de lui gravite tout un tas de services tiers, comme Discord.io. Il propose de crer des invitations personnalises aux salons de discussion Discord. On apprend aujourd’hui que les donnes personnelles de 760 000 utilisateurs du site ont t voles et mises en vente sur le Dark Web.
Prcision importante : Discord.io n’est pas affili Discord. En revanche, les noms d’utilisateur et mots de passe utiliss sur l’un sont souvent les mmes que sur l’autre. Les tests effectus pour vrifier l’authenticit des donnes vendues montrent que les adresses lectroniques de Discord.io sont associes des comptes Discord. Le risque est donc rel si vous avez utilis le service et fourni les mmes informations que sur Discord.
Les donnes voles de 760 000 utilisateurs de Discord.io sont en vente sur le Dark Web
Le site Discord.io a ferm pour le moment et ses salles ont t retires de Discord. De son ct, la plateforme a rvoqu les cls d’accs du service, ce qui signifie que personne ne peut agir au nom des victimes jusqu’ ce qu’elles se reconnectent. C’est le hacker Akhirah qui l’a mis en vente sur le forum Dark Web Breached. Il explique qu’il ne fait pas cela pour l’argent, mais parce qu’il pense que Discord.io hberge des liens vers des contenus illgaux. Il souhaite que les responsables du site le contactent pour lui confirmer qu’ils supprimeront le contenu en question. En change, le pirate supprimera les donnes de la vente.
Parmi celles-ci, on retrouve le pseudo, l’identifiant Discord, l’adresse email ou encore le mot de passe « salted and chopped » (sal et hach, donc pas le vrai mot de passe). Si vous tes un utilisateur de Discord.io, nous vous recommandons de changer votre mot de passe sur Discord et tout autre service dans le cas o vous avez le mme et d’activer l’authentification deux facteurs. Dans l’tat actuel des choses, il ne devrait pas y avoir de rpercussions srieuses. Soyez toutefois vigilant si vous recevez des courriels suspects dans les prochains jours.
Voici ce que Discord.io a publi concernant cet vnement :
Discord.io a subi une violation de donnes
Dans la nuit du 14 aot, Discord.io a t victime d’une importante violation de donnes, qui a entran la fuite du contenu de notre base de donnes vers des acteurs inconnus. Nous avons t informs de la faille plus tard dans la journe, et aprs avoir confirm le contenu de la faille, nous avons dcid de fermer tous les services et oprations.
Que s’est-il pass ?
Nous enqutons toujours sur la violation, mais nous pensons qu’elle a t cause par une vulnrabilit dans le code de notre site web, qui a permis un pirate d’accder notre base de donnes. Le pirate a ensuite tlcharg l’intgralit de la base de donnes et l’a mise en vente sur un site tiers.
Quelles donnes ont t divulgues ?
Des informations non sensibles concernant votre compte :
- Votre identifiant interne
- Informations sur votre avatar
- Votre statut (modrateur/administrateur/avec annonces/banni/public/etc)
- Votre solde de pices et votre score actuel dans notre mini-jeu gratuit.
- Votre cl API (elle ne donne pas accs votre compte, et n’tait disponible que pour moins d’une douzaine d’utilisateurs).
- Votre date d’inscription.
- La date de votre dernier paiement et la date d’expiration de votre abonnement premium.
Informations potentiellement sensibles concernant votre compte :
- Votre nom d’utilisateur : Soit celui que vous avez fourni lors de votre inscription, soit, pour la plupart d’entre vous, votre nom d’utilisateur Discord actuel.
- Votre identifiant Discord : Ces informations ne sont pas prives et peuvent tre obtenues par toute personne partageant un serveur avec vous. Son inclusion dans la brche signifie cependant que d’autres personnes pourraient tre en mesure de relier votre compte Discord une adresse e-mail donne.
- Votre adresse lectronique : Soit celle que vous avez fournie lors de votre inscription, soit, pour la plupart d’entre vous, votre adresse lectronique Discord actuelle.
- Votre adresse de facturation : Cela ne devrait concerner qu’un petit nombre de personnes et correspond l’adresse de facturation que vous nous avez donne pour effectuer un achat sur notre site avant que nous n’utilisions Stripe.
- Votre mot de passe « sal et hach » : Cela ne devrait concerner qu’un petit nombre de personnes avant que nous ne proposions exclusivement Discord comme option de connexion ( partir de 2018). Bien que votre mot de passe ait t crypt selon les normes de l’industrie, s’il n’tait pas unique, nous vous conseillons vivement de le mettre jour sur tout autre site o il pourrait tre similaire.
Discord.io ne stocke aucune information de paiement, et tous les paiements sont traits par PayPal et Stripe. Nous ne stockons aucune information de paiement sur nos serveurs et ces informations n’ont pas t divulgues.
Que faisons-nous ce sujet ?
Nous avons dcid de fermer notre site jusqu’ nouvel ordre.
Nous continuerons d’enquter sur les causes possibles de la violation et nous prendrons des mesures pour que cela ne se reproduise plus. Ces mesures comprendront une rcriture complte du code de notre site web, ainsi qu’une rvision complte de nos pratiques en matire de scurit.
Que devez-vous faire ?
Comme nous n’avons stock que votre identifiant Discord, et non votre jeton d’authentification Discord, il n’est pas ncessaire de changer votre mot de passe ou de prendre d’autres mesures sur Discord.
Cependant, si vous vous tes inscrit sur notre site avant 2018, en utilisant notre ancien enregistrement de nom d’utilisateur/mot de passe, nous vous conseillons vivement de changer votre mot de passe sur tout autre site qui aurait pu utiliser le mme mot de passe.
Qu’en est-il de mon abonnement premium ?
Comme nous avons mis fin toutes les oprations, nous avons galement annul tous les abonnements actifs notre site. Vous ne serez donc plus factur.
Si vous avez achet un abonnement premium au cours des 30 derniers jours, nous vous rembourserons intgralement.
Veuillez nous contacter l’adresse support@discord.io en indiquant votre nom d’utilisateur et l’adresse lectronique que vous avez utilise pour effectuer l’achat.
Nous procderons au remboursement dans les plus brefs dlais.
Source : The « Information Leaks » Telegram channel, Discord.io
Et vous ?
Quel est votre avis sur cette affaire ?
Voir aussi :