Ein Drittanbieterdienst, der es Tausenden von Benutzern ermöglicht, benutzerdefinierte Einladungen für Discord zu erstellen, wird nach einem Hackerangriff vorübergehend eingestellt.
Discord.io am Dienstag bestätigt Es kam zu einem „schwerwiegenden Datenverstoß“, der dazu führte, dass ein Hacker die gesamte Datenbank herunterlud. „Wir wurden später am Tag auf den Verstoß aufmerksam gemacht und nachdem wir den Inhalt des Verstoßes bestätigt hatten, beschlossen wir, alle Dienste und Operationen einzustellen“, sagte Discord.io in einer Ankündigung.
(Quelle: Discord.io)
Der Hacker mit dem Namen „Akhirah“ behauptet, Daten von 760.000 Discord.io-Nutzern gestohlen zu haben. Akhirah sagt, dass der Hack teilweise durch die Tatsache motiviert war, dass Discord.io angeblich auf Material über sexuellen Kindesmissbrauch verlinkt. Der Hacker erzählt Bleeping Computer Sie wären bereit, die gestohlenen Informationen geheim zu halten, wenn Discord.io diese Links löscht, aber die gestohlenen Daten stehen derzeit auch in einem Hacking-Forum zum Verkauf.
Discord.io sagt, es untersuche den Verstoß noch, aber wir glauben, dass der Verstoß durch eine Schwachstelle im Code unserer Website verursacht wurde, die es einem Angreifer ermöglichte, Zugriff auf unsere Datenbank zu erhalten.“
Die gute Nachricht ist, dass betroffene Benutzer ihre Passwörter auf Discord selbst nicht ändern müssen, da Discord.io nur Discord-Benutzer-IDs und keine Discord-Authentifizierungstoken speicherte.
Dennoch stahl der Hacker E-Mail-Adressen von Discord.io-Benutzern sowie die Rechnungsadressen derjenigen, die Einkäufe bei dem Dienst getätigt hatten, bevor dieser die Zahlungsplattform Stripe und PayPal nutzte.
Von unseren Redakteuren empfohlen
Darüber hinaus wurden die Passwortinformationen einer kleinen Anzahl von Benutzern gestohlen, die sich vor 2018 bei Discord.io angemeldet hatten. Die gestohlenen Passwortdaten wurden jedoch gesalzen und gehasht. „Ihr Passwort wurde zwar nach Industriestandards verschlüsselt, sollte es aber nicht eindeutig sein, bitten wir Sie dringend, alle anderen Websites zu aktualisieren, die dieses Passwort möglicherweise verwendet haben“, fügt Discord.io hinzu.
Obwohl Discord.io vorübergehend geschlossen wurde, plant der Dienst eine Rückkehr mit stärkeren Sicherheitsmaßnahmen. „Dazu gehört eine komplette Neufassung des Codes unserer Website sowie eine komplette Überarbeitung unserer Sicherheitspraktiken“, heißt es darin.
Gefällt Ihnen, was Sie gerade lesen?
Melden Sie sich an für SecurityWatch Newsletter mit unseren Top-Geschichten zum Thema Datenschutz und Sicherheit direkt in Ihren Posteingang.
Dieser Newsletter kann Werbung, Angebote oder Affiliate-Links enthalten. Wenn Sie einen Newsletter abonnieren, erklären Sie sich damit einverstanden Nutzungsbedingungen Und Datenschutzrichtlinie. Sie können den Newsletter jederzeit abbestellen.