Брешь в Discord позволяет обойти 2FA и получить контроль над аккаунтом

Аккаунты пользователей Discord находятся в опасности — в сервисе обмена сообщениями была выявленная опасная уязвимость. Первые слухи относительно бреши в процессе аутентификации стали появляться вчера среди геймеров, использующих голосовые чаты в Discord для совместной игры.

К слову, геймерская аудитория Discord обусловлена наличием у сервиса собственного магазина игр и специальных инструментов, заточенных под игроков.

Уязвимость мессенджера затрагивает возможность аутентификации через соответствующий QR-код. Именно так геймеры заходят в свою учётную запись, например, на десктопе.

Злоумышленники могут использовать функцию сканирования QR-кода в своих целях. В результате успешной атаки полный контроль над аккаунтом жертвы переходит в руки преступника.

Для эксплуатации уязвимости атакующий должен отправить пользователю специальное сообщение, содержащее QR-код. При этом код сопровождается текстом: хакер утверждает, что пользователь может получить приз, просканировав пришедший QR-код.

Если жертва выполнит все инструкции злоумышленника, последний получит полный контроль над учётной записью Discord. Обратите внимание, что этот способ помогает обойти двухфакторную аутентификацию.