DISCORD.IO: En las últimas horas ha sufrido una filtración de datos.
El sitio web Discord.io sufrió una importante brecha de datos el 14 de agosto, resultando en la filtración de contenido de su base de datos a actores desconocidos. Después de confirmar la brecha, se decidieron cerrar todos los servicios y operaciones.
La brecha ocurrió debido a una vulnerabilidad en el código del sitio web que permitió a un atacante acceder a la base de datos. El atacante descargó toda la base de datos y la puso a la venta en un sitio de terceros.
La información filtrada incluye datos no sensibles como:
- Su ID de usuario interno
- Información sobre tu avatar
- Tu estado (moderador/administrador/tiene anuncios/prohibido/público/etc)
- Su saldo de monedas y su racha actual en nuestro minijuego gratuito.
- Su clave API (esto no da acceso a su cuenta y solo estaba disponible para menos de una docena de usuarios).
- Su fecha de registro.
- Su última fecha de pago y la fecha de vencimiento de su membresía premium.
También se filtraron datos potencialmente sensibles como:
- Su nombre de usuario. O el que proporcionó al registrarse o, para la mayoría de ustedes, su nombre de usuario actual de Discord.
- Tu ID de discord. Esta información no es privada y puede obtenerla cualquier persona que comparta un servidor con usted. Sin embargo, su inclusión en la infracción significa que otras personas podrían vincular su cuenta de Discord a una dirección de correo electrónico determinada.
- Su dirección de correo electrónico. Ya sea el que proporcionó al registrarse o, para la mayoría de ustedes, su dirección de correo electrónico actual de Discord.
- Su dirección de facturación. Esto solo debería afectar a un pequeño número de personas y corresponde a la dirección de facturación que nos proporcionó para realizar una compra en nuestro sitio antes de que comenzáramos a usar Stripe.
- Su contraseña salada y hash. Esto solo debería afectar a un pequeño número de personas antes de que ofreciéramos Discord exclusivamente como opción de inicio de sesión (a partir de 2018). Si bien su contraseña se encriptó según los estándares de la industria, si no era única, le recomendamos que actualice cualquier otro sitio que pueda haber usado esta contraseña.
Discord.io no almacena ninguna información de pago y todos los pagos se procesan a través de PayPal y Stripe. No almacenan ninguna información de pago en los servidores, y esta información no se filtró.
Como medida de respuesta, el sitio ha sido cerrado temporalmente. Se está investigando la causa de la brecha y se llevarán a cabo cambios en el código del sitio y en las prácticas de seguridad.
Los usuarios no necesitan cambiar sus contraseñas en Discord, ya que solo se almacenó la identificación del usuario y no el token de autenticación. Sin embargo, se recomienda cambiar las contraseñas en otros sitios si se usó la misma contraseña que en Discord.io antes de 2018.
Las membresías premium han sido canceladas y se emitirán reembolsos completos para las suscripciones activas en los últimos 30 días. Los usuarios deben ponerse en contacto con el soporte para gestionar los reembolsos.
Es importante tomar medidas adicionales para proteger la seguridad de los datos y considerar la posibilidad de cambiar las contraseñas en otros sitios si se usó la misma contraseña en Discord.io.