Layanan undangan khusus atau pembuat tautan (link), Discord.io ditutup sementara waktu usai diretas. Sekitar 760 ribu data pengguna Discord itu dicuri dan dijual ke publik melalui dark web.
Discord.io bukan situs resmi Discord, melainkan layanan pihak ketiga yang memungkinkan pemilik server membuat undangan khusus ke saluran mereka. Sebagian besar komunitas dibangun di sekitar server Discord, dengan lebih dari 14.000 anggota.
Kemarin, seseorang yang dikenal sebagai ‘Akhirah’ mulai menawarkan basis data Discord.io untuk dijual di forum peretasan. Sebagai bukti pencurian, pelaku membagikan empat catatan pengguna dari basis data.
Informasi yang paling sensitif dalam pelanggaran ini adalah nama pengguna anggota, alamat email, alamat penagihan (sejumlah kecil orang) dan ID Discord.
“Informasi ini tidak bersifat pribadi dan dapat diperoleh oleh siapa pun yang berbagi server dengan Anda. Namun, penyertaannya dalam pelanggaran ini berarti bahwa orang lain mungkin dapat menautkan akun Discord Anda ke alamat email yang diberikan,” menurut Discord.io tentang bocornya data Discord.
Seperti yang pertama kali dilaporkan oleh StackDiary, Discord.io telah mengkonfirmasi pelanggaran tersebut dalam sebuah pemberitahuan ke server dan situs web Discord.
Mereka juga telah mematikan layanannya untuk sementara waktu sebagai tanggapan atas peretasan.
“Discord.io telah mengalami pembobolan data. Kami menghentikan semua operasi untuk waktu yang akan datang,” demikian bunyi pesan di server Discord.
Situs web untuk Discord.io menjelaskan mereka pertama kali mengetahui kebocoran data setelah melihat sebuah unggahan di forum hacker. Segera setelah itu, mereka mengkonfirmasi keaslian data yang bocor dan mulai menutup layanannya dan membatalkan semua keanggotaan berbayar.
Discord.io mengatakan mereka telah dihubungi oleh individu di balik pembobolan tersebut dan belum membagikan informasi apa pun tentang bagaimana mereka dibobol.
Dikutip dari Bleeping Computer, Akhirah mengaku belum berbicara dengan pemilik layanan tersebut.
“Ini bukan hanya tentang uang,” katanya.
Situs Discord.io bertindak sebagai direktori di mana pengunjung dapat mencari server Discord yang sesuai dengan konten tertentu dan mendapatkan undangan untuk mengaksesnya.
Dalam beberapa kasus, pengguna diminta membeli dan membelanjakan mata uang virtual situs, Discord.io Coins, untuk mendapatkan akses ke undangan.
Ketika membuat profil server Discord ini, persyaratan penggunaan Discord.io mengatakan bahwa semua konten adalah tanggung jawab anggota sepenuhnya, tetapi operator memiliki hak untuk menghapus konten apa pun yang ilegal atau melanggar aturan mereka.
Dari halaman arsip situs Discord tidak hanya digunakan untuk kreator game melainkan bisa berbagai macam minat termasuk anime, konten dewasa, dan banyak lagi.
Akhirah mengatakan ini bukan hanya tentang menghasilkan uang dari pencurian basis data, melainkan tentang Discord.io diduga terlibat konten ilegal dan berbahaya.
“Ini bukan hanya tentang uang, beberapa server yang mereka abaikan, saya berbicara tentang pedofilia dan hal-hal serupa, mereka harus memasukkannya ke dalam daftar hitam dan tidak mengizinkannya,” kata Akhirah, mengutip Bleeping Computer, Rabu (16/8).
Peretas mengatakan ada banyak ketertarikan pada basis data tetapi kebanyakan dari orang-orang yang ingin menggunakannya untuk “melakukan doxing pada orang lain yang bermasalah dengan mereka.”
Sebaliknya, Akhirah mengaku lebih memilih untuk menunggu operator Discord.io menghubungi untuk menghapus materi yang dianggap menyalahi norma.
Meskipun peretas mengatakan tidak menjual basis data, semua pengguna harus memperlakukan situasi ini seolah-olah data mereka akan disalahgunakan.
Alamat email dapat menjadi sangat berharga bagi pelaku ancaman karena dapat digunakan untuk serangan phishing yang ditargetkan, untuk mencuri informasi yang lebih sensitif.
Oleh karena itu, jika Anda anggota Discord.io disarankan waspada terhadap email dengan tautan, yang meminta Anda memasukkan kata sandi atau informasi lainnya.
Untuk pembaruan apa pun tentang pelanggaran ini, Anda harus memeriksa situs web utama, yang seharusnya berisi informasi apa pun tentang kemungkinan pengaturan ulang kata sandi atau email dari layanan ini.