Разработчики инструментов для Discord рекламируют сервис, который, по их утверждениям, собрал 1,8 миллиарда сообщений от 35 миллионов пользователей на 6000 серверах. Предполагаемый кэш данных также включает 207 миллионов голосовых сессий, профили пользователей и файлы, что вызывает серьезные опасения по поводу конфиденциальности. Это произошло менее чем через два года после того, как Discord закрыл аналогичный сервис Spy.Pet за нарушение условий использования.
Новый сервис, рекламируемый на популярном форуме утечек данных, предлагает платным подписчикам возможность поиска по миллиардам записей. Исследователи Cybernews, которые первыми сообщили о сервисе, предупреждают, что такой доступ может быть использован для целенаправленных преследований, доксинга и других вредоносных действий.
Согласно рекламе, сервис индексирует 1,8 миллиарда сообщений от 35 миллионов пользователей. Но данные выходят за рамки текста: по сообщениям, он включает метаданные голосовых сессий из 207 миллионов звонков, информацию о профилях пользователей и файлы, загруженные на серверы. Исследовательская группа Cybernews отмечает, что невозможно проверить полный масштаб без подписки на сервис (что они не рекомендуют), но заявление о живой индексации предполагает непрерывный сбор данных.
Этот масштаб превосходит более раннюю операцию Spy.Pet, которая собрала публичные сообщения от 620 миллионов пользователей. Новый сервис также интегрирует данные из взломанных баз данных и серверов FiveM, расширяя свой охват за пределы Discord.
Сбор сообщений Discord обычно опирается на инструменты автоматизации или селфботы (автоматизированные учетные записи пользователей), которые извлекают данные из каналов, к которым бот имеет доступ. Публичные серверы Discord особенно уязвимы, так как их сообщения видны любому участнику. Коммерческие инструменты для сбора, такие как доступные на платформах вроде Apify, предлагают пошаговые руководства по получению токенов Discord и экспорту истории сообщений. Хотя эти инструменты имеют законное применение — анализ сообществ, архивирование или резервное копирование — они могут быть легко использованы злоумышленниками.
Условия предоставления услуг сервиса указывают, что он управляется из Эстонии, члена ЕС с строгим соблюдением GDPR. Однако те же условия, по сообщениям, указывают, что собранные данные хранятся на серверах, расположенных в России. Это создает юрисдикционную лазейку: заявляя о соответствии законам ЕС о конфиденциальности, хранилище данных может фактически находиться вне досягаемости ЕС.
«Сервис, вероятно, создан для облегчения онлайн-преследований», — объяснила команда Cybernews. Стратегия двойного расположения может помочь операторам избежать юридических последствий, монетизируя данные двумя способами: взимая плату с пользователей за доступ к сообщениям и с жертв за исключение их данных.
Бизнес-модель сервиса, по-видимому, направлена на эксплуатацию как спроса на слежку, так и отчаяния по поводу конфиденциальности. Исследователи отмечают, что это повторяет модель Spy.Pet, которая также предлагала «корпоративный вариант» для обучения ИИ — якобы включая интерес со стороны федеральных агентств. Взимая плату как за доступ, так и за удаление, операторы могут получать прибыль от самого нарушения, которое они создают.
В начале 2024 года Discord заблокировал учетные записи и ботов, связанные с Spy.Pet, фактически прекратив поставку данных. Условия использования Discord прямо запрещают сбор данных, и компания заявила, что принимает меры против нарушителей. Тем не менее, появление аналогичного сервиса свидетельствует о недостаточности мер.
Новый сервис утверждает, что имеет «больше интеграции с взломанными базами данных и серверами FiveM», что указывает на эволюцию агрегации данных. FiveM, популярный мод для многопользовательской игры Grand Theft Auto, часто размещает крупные сообщества с серверами Discord. Объединяя данные Discord с внешними утечками, сервис создает более полный профиль пользователей, повышая его ценность для преследований или кражи личных данных.
Для обычных пользователей существование такого сервиса означает, что все, что опубликовано на публичных серверах Discord, может быть заархивировано, доступно для поиска и доступно любому, кто готов платить. Даже частные серверы не застрахованы, если участник запускает бота-сборщика. Голосовые сессии, хотя их сложнее записать, теперь также являются целью.
Риск не гипотетический: ранее в этом году группа заявила, что собрала более 348 миллионов сообщений с почти 1000 публичных серверов Discord. С ростом сложности и доступности инструментов барьер для крупномасштабного сбора данных снижается. Менеджерам сообществ и администраторам серверов следует предпринять активные шаги для ограничения воздействия, такие как ограничение видимости истории сообщений и мониторинг несанкционированных ботов.
Discord пока публично не комментировал этот конкретный сервис, но модель предполагает продолжающуюся игру в кошки-мышки. Как только одна операция по сбору данных закрывается, появляется другая — часто с большим количеством функций и лучшими методами уклонения. Гонка вооружений между безопасностью платформы и сборщиками данных не показывает признаков замедления.