Mundo, 22 ago 2023 (ATB Digital).- Un reciente ataque cibernético afectó a la plataforma de invitaciones personalizadas de Discord, Discord.io, dejando expuesta la información persona de más de 760.000 usuarios y forzando el cierre indefinido del servicio.
El incidente se llevó a cabo el pasado 14 de agosto y la plataforma indicó que no operará “hasta nuevo aviso”, ya que estarán revisando el alcance de la situación para volver a prestar sus servicios.
Según los investigadores, la base de datos robada contenía información variada, incluyendo detalles de identificación interna de usuarios, avatares, saldos en moneda virtual, claves API y fechas de registro.
El impacto más grande lo sufrieron los usuarios de suscripción premium porque con la filtración de información quedaron expuestas sus fechas de facturación y vencimiento de membresías.
Además, se revelaron datos como nombres de usuarios, IDs de Discord, direcciones de correo electrónico, contraseñas y direcciones de facturación.
La información robada podría ser explotada por ciberdelincuentes para ejecutar más estafas y otros delitos cibernéticos, así como ponerla en venta a través de foros de piratería.
Discord.io cerrará mientras resuelve el caso
Esta es una plataforma externa e independiente a Discord y brindaba un servicio de creación de URLs de invitación personalizado para servidores de la aplicación, por lo que la plataforma de mensajería no comparte información directamente “y no tenemos acceso ni control de la información bajo su custodia”, informaron.
Ante la situación y como método de protección, decidieron revocar los tokens de autenticación para cualquier usuario que use Discord.io, por lo que ahora esa aplicación “no puede realizar acciones en nombre de esos usuarios hasta que se vuelvan a autenticar”.
Por otro lado, Discord.io cerró sus operaciones mientras encuentra la solución y para minimizar daños adicionales. Sin embargo, la plataforma aclaró que aunque la información filtrada es “potencialmente confidencial”, los datos de pago no fueron revelados porque esos los procesa PayPal, la pasarela de pago.
Pero, Bleeping Computer encontró que una persona que se hace llamar “Akhirah” comenzó a ofrecer la base de datos a través de BreachedForums, un foro de piratería, y para demostrar que sí tiene esa información compartió cuatro registros y afirmó que el robo de datos tiene motivos más allá de conseguir un rescate económico.
“No se trata solo de dinero. Algunos de los servidores (comunidades dentro de Discord) que pasan por alto hablan de pedofilia y cosas similares, deberían incluirlos en la lista negra y no permitirlos”, aseguró.
Recomendaciones para los usuarios afectados
En caso de usar el servicio de Discord.io, la misma plataforma dio una serie de recomendaciones para evitar afectaciones. El primer consejo es que los suscriptores registrados antes de 2018 deben cambiar sus contraseñas en cualquier otro servicio en el que hayan reutilizado la que tenían en esta aplicación.
Además, aquellas personas que pagaron por la membresía premium tienen que en enviar un correo explicando su situación a support@discord.io para solicitar un reembolso.
Centro familiar en Discord
Discord lanzó una función especial llamada Centro Familiar para que los padres puedan estar pendientes de las actividades de sus hijos en la plataforma. De esta forma, cada actividad que realicen podrá ser registrada en caso de que sea necesario.
El Centro Familiar tendrá funciones dedicadas a conocer qué hacen los menores de edad cuando ingresan a los servicios de la plataforma, pero eso no significa que los padres puedan revisar todo el contenido.
Esta nueva función requiere un permiso del menor y luego deberá escanear un código QR con el que se podrá vincular la plataforma de los hijos a la de los padres.
Los padres podrán ver contenido como: amigos recién añadidos, los servidores en los que el menor ha participado o a los que se ha unido, además de los usuarios o grupos de chat a los que se envió un mensaje directo.
INFOBAE