Criadores de ferramentas online focadas no Discord estão divulgando um serviço que, segundo eles, raspou 1,8 bilhão de mensagens de 35 milhões de usuários em 6.000 servidores. O suposto cache de dados também inclui 207 milhões de sessões de voz, perfis de usuários e arquivos, levantando sérias preocupações com privacidade. Isso ocorre menos de dois anos após o Discord ter desativado um serviço semelhante, o Spy.Pet, por violar seus termos de serviço.
O novo serviço, anunciado em um fórum popular de vazamento de dados, alega oferecer a assinantes pagantes a capacidade de pesquisar bilhões de registros. Pesquisadores da Cybernews, que inicialmente reportaram o serviço, alertam que tal acesso pode ser usado para assédio direcionado, doxxing e outras atividades maliciosas.
De acordo com o anúncio, o serviço indexa 1,8 bilhão de mensagens de 35 milhões de usuários. Mas os dados vão além do texto: inclui metadados de sessões de voz de 207 milhões de chamadas, informações de perfil de usuários e arquivos enviados aos servidores. A equipe de pesquisa da Cybernews observa que, embora seja impossível verificar o escopo completo sem assinar o serviço (o que eles desaconselham), a alegação de indexação ao vivo sugere coleta contínua de dados.
Essa escala supera a operação anterior do Spy.Pet, que raspou mensagens públicas de 620 milhões de usuários. O novo serviço também integra dados de bancos de dados violados e servidores FiveM, expandindo seu alcance além do Discord.
A raspagem de mensagens do Discord geralmente depende de ferramentas de automação ou selfbots (contas de usuário automatizadas) que extraem dados de canais aos quais o bot tem acesso. Servidores públicos do Discord são especialmente vulneráveis, pois suas mensagens são visíveis para qualquer membro. Ferramentas comerciais de raspagem, como as disponíveis em plataformas como Apify, oferecem guias passo a passo para obter tokens do Discord e exportar históricos de mensagens. Embora essas ferramentas tenham usos legítimos — análise de comunidade, arquivamento ou backup — elas podem ser facilmente armadas por agentes mal-intencionados.
Os termos e condições do serviço afirmam que ele é operado da Estônia, um membro da UE com aplicação rigorosa do GDPR. No entanto, os mesmos ToS supostamente indicam que os dados raspados são armazenados em servidores localizados na Rússia. Isso cria uma brecha jurisdicional: enquanto alega conformidade com as leis de privacidade da UE, o repositório de dados pode estar efetivamente fora do alcance da UE.
“O serviço provavelmente foi criado para facilitar o assédio online”, explicou a equipe da Cybernews. A estratégia de dupla localização pode ajudar os operadores a evitar repercussões legais enquanto monetizam os dados de duas formas: cobrando dos usuários para acessar mensagens e cobrando das vítimas para ter seus dados excluídos.
O modelo de negócios do serviço parece projetado para explorar tanto a demanda por vigilância quanto o desespero por privacidade. Pesquisadores observam que isso espelha o modelo do Spy.Pet, que também oferecia uma “opção empresarial” para treinamento de IA — supostamente incluindo interesse de agências federais. Ao cobrar tanto pelo acesso quanto pela omissão, os operadores podem lucrar com a própria violação que criam.
No início de 2024, o Discord baniu contas e bots vinculados ao Spy.Pet, efetivamente cortando seu fornecimento de dados. Os termos de serviço do Discord proíbem explicitamente a raspagem, e a empresa afirmou que toma medidas de execução contra infratores. No entanto, o surgimento de um serviço semelhante sugere que as medidas são insuficientes.
O novo serviço alega ter “mais integração com bancos de dados violados e servidores FiveM”, indicando uma evolução na agregação de dados. FiveM, um mod multiplayer popular de Grand Theft Auto, frequentemente hospeda grandes comunidades com servidores no Discord. Ao combinar dados do Discord com violações externas, o serviço constrói um perfil mais rico dos usuários, aumentando seu valor para assédio ou roubo de identidade.
Para usuários comuns, a existência de tal serviço significa que qualquer coisa postada em servidores públicos do Discord pode ser arquivada, pesquisável e acessível a qualquer um disposto a pagar. Mesmo servidores privados não estão imunes se um membro executar um bot de raspagem. Sessões de voz, embora mais difíceis de gravar, agora também são alvo.
O risco não é hipotético: no início deste ano, um grupo afirmou ter raspado mais de 348 milhões de mensagens de quase 1.000 servidores públicos do Discord. Com ferramentas se tornando mais sofisticadas e acessíveis, a barreira de entrada para raspagem em larga escala está diminuindo. Gerentes de comunidade e administradores de servidores devem tomar medidas proativas para limitar a exposição, como restringir a visibilidade do histórico de mensagens e monitorar bots não autorizados.
O Discord ainda não comentou publicamente sobre este serviço específico, mas o padrão sugere um jogo de gato e rato contínuo. À medida que uma operação de raspagem é desativada, outra surge — muitas vezes com mais recursos e melhores técnicas de evasão. A corrida armamentista entre segurança da plataforma e coletores de dados não mostra sinais de desaceleração.