76万人に影響か Discord.ioのユーザーデータが漏えい
Discordサーバでカスタム招待を作成できるサービス「Discord.io」で、76万人のユーザーデータが漏えいしたとみられる。
Malwarebytesは2023年8月16日(現地時間)、コミュニケーションアプリ「Discord」サーバの所有者がカスタム招待を作成できるサードパーティーサービス「Discord.io」で、76万人のユーザーデータが漏えいしたとみられる。
Discord.ioのオーナーは同サービスを当面の間停止することを決定しており、すでにプレミアムサブスクリプションはキャンセルされた他、影響を受けるユーザーに対してできるだけ早期に連絡を取るとしている。
Discord.ioのユーザーデータが漏えい 76万人に影響か
漏えいしたユーザーデータには、以下のデータが含まれている可能性がある。
- Discord.ioのユーザー名とDiscord ID
- 電子メールアドレス
- 請求先住所
- ソルト付きハッシュ化パスワード(2018年以前にサインなアップした場合に限る)
支払いに関する情報は「Stripe」および「PayPal」によって管理されているため、今回の情報漏えいの影響は受けないとされている。
DiscordはDiscord.ioを使ったことがあるDiscordユーザーのOAuth認証トークンを失効させたと説明した。これによって、ユーザーが再認証を実施するまでアプリは対象ユーザーの代わりにアクションを実行できない。影響を受けたユーザーはパスワードを変更し、多要素認証を有効化することが推奨される。
Malwarebytesはデータ漏えいの被害に遭った、または、その可能性がある場合に取るべき行動として以下のアクションを推奨する。
- ベンダーのアドバイスを確認する
- パスワードを変更する。ユニークで強力なパスワードを使用する。パスワードの生成にはパスワードマネジャーを使ってもよい
- 二要素認証(2FA)を有効化する。可能であればFIDO2に準拠したハードウェアセキュリティキーやPC、携帯電話を第2要素として使用する
- 偽の業者に気を付ける
- 時間をかけてチェックを実施する
今回の情報漏えいについて、Discordのスポークスマンは「DiscordとDiscord.ioは提携しておらず直接ユーザー情報は共有していない」と説明し、ユーザーに対して二要素認証を有効化してSMS認証の導入を検討することを推奨している。
関連記事
- 積水化学の“本気すぎる”セキュリティ対策 リテラシー教育から情報管理体制構築まで
積水化学工業は役員や一般従業員といった非IT従事者に向けて徹底したサイバー演習やリテラシー教育を実施し、強固なリスクマネジメント体制を整えている。同社の事例を紹介しよう。 - SIMスワップで組織内部に侵入 Lapsus$の手口と攻撃を緩和する10の方法
CSRBは脅威アクター「Lapsus$」に関する調査報告書を公開した。Lapsus$はSIMスワップやフィッシングといった一般的な悪用技術を使って数々の有名企業に不正アクセスしている。この攻撃を緩和する10の方法とは。 - Netflix、Disney+もいよいよ対策に本腰 「アカウント共有問題」について考える
動画配信サービスでしばしば問題に挙がる「アカウント共有問題」。今まで黙認されてきたこの行為ですが今後はNetflixやDisney+なども対策に本腰を入れるようです。セキュリティの観点からこの問題を考えてみます。 - シャドーIT対策「野良アプリ禁止」はなぜ良い結果を産まないのか?
従業員の業務環境にどんな脅威があっても状況を把握できなければ守れない。だがシャドーIT対策として「野良アプリ禁止」を強制したところで問題は解決しない。なぜか。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.