Lors d’un changement de processus avec ses sous-traitants pour la gestion des tickets utilisateurs via Zendesk, Discord a introduit une faille de sécurité majeure : l’identité des auteurs des tickets n’était plus vérifiée. N’importe qui pouvait soumettre un ticket en se faisant passer pour un autre utilisateur, sans aucune authentification, et en ne connaissant que le mail du compte.
Une faille critique pour les serveurs vérifiés et partenaires
En apparence, cela pourrait sembler anodin : on ne peut pas réinitialiser un mot de passe ou supprimer un compte via un simple ticket support.
Mais pour les propriétaires de serveurs Vérifiés ou Partenaires, c’est une toute autre histoire.
Discord oblige ces utilisateurs à passer par le support pour les transferts de propriété pour renforcer la sécurité de ceux-ci.
Mais si le système ne vérifie plus l’identité du demandeur, il suffit de connaître l’adresse mail du propriétaire pour réclamer son serveur.
Une fois la demande acceptée, l’attaquant récupère la propriété du serveur, avec tous les droits associés. Même si l’ancien propriétaire peut ensuite en faire la demande inverse s’il avait un compte support, le mal est déjà fait : spam, arnaques, suppression massive de canaux… tout peut arriver en quelques minutes.
Signalement rapide et correctif immédiat
La faille a été identifiée rapidement par nos soins et le Head of Security de Discord a été contacté de manière informelle : le correctif a été appliqué le jour même. Par la suite, le bug a été signalé officiellement via le programme de bug bounty de Discord.
Les processus de vérifications ont donc été renforcés sur le Support en demandant une confirmation envoyée depuis l’adresse mail du propriétaire.
Des informations personnelles négligées
Ce type d’incident rappelle une chose simple : toute information sur votre compte peut être utilisée contre vous.
Même si connaitre une adresse mail ne permet pas directement de pirater un compte dans la plupart des cas, cela peut servir à contourner des processus de vérifications faibles (comme ici), de faire de l’ingénierie sociale sur des services clients afin de récupérer plus d’information ou encore d’organiser des campagnes de phishing.
info
Toute personne ayant déjà communiqué le mail associé à son compte Discord devrait changer ce dernier le plus rapidement possible.
Astuce
Nous conseillons fortement d’avoir des adresses mails privées dédiés à vos comptes importants comme conseillé dans notre article dédié à la protection des comptes.
Il ne suffit donc pas de protéger son mot de passe : n’importe quelle donnée, même celles qu’on croit anodines, peuvent être utilisées contre nous. Pour échanger avec d’autres utilisateurs sur les meilleures manières de sécuriser vos comptes, vous pouvez rejoindre notre serveur communautaire autour de Discord.