据Hackread消息,一家名为Spy.pet互联网搜索公司自 2023 年 11 月以来一直在抓取并收集 Discord 用户数据,数量已达40亿条。
Spy.pet网站页面
据报道,这些信息可公开访问,分别从 14201 台服务器上收集,而这些服务器上累计有超过6亿名用户。Spy.pet计划将这些个人数据和资料打包出售,以换取一定数额的加密货币。
虽然目前还不清楚该网站的所有者是谁,但从抓取这些数据的性质表明,Discord 与机器人或第三方应用程序的交互方式存在潜在安全漏洞。此前,来自 Chess、Clubhouse、LinkedIn、Mastodon 和 GETTR 的废弃数据库也曾泄露在了网络上。
Spy.pet 是一个聊天信息收集平台,它通过包含已知别名、代词、连接账户、Discord 服务器和公开消息的配置文件收集用户数据。该平台只接受加密货币支付,用户必须购买信用点数(每个信用点数 0.01 美元,至少 500 个信用点数)才能访问个人资料、对话档案和搜索服务器。
Spy.pet将消息日志与发送者关联起来,并收集了Discord的别名以及关联的社交媒体和Steam账户,基本上可以满足任何监视和骚扰的需求。Spy.pet进一步宣称,为任何希望在该网站的消息库上训练AI模型的人提供了一个“企业选项”。
2024 年 2 月,该平台遭到 DDoS 攻击,但平台所有者声称损失很小。安全专家怀疑,Discord 聊天中泄露的数据可能会暴露个人信息、私人照片和视频、财务细节和公司机密。其中,财务细节可能成为诈骗者的目标,如果 Discord 用于商务沟通,则可能暴露公司机密。
目前,Discord称已经在调查 Spy.pet,并致力于保护用户的隐私。如果发现违反其服务条款和社区准则的行为,公司计划采取适当措施。
参考来源:
This Website is Selling Billions of Private Messages of Discord Users