Užíváte Discord? Vaše zprávy, i ty soukromé, nejspíše četl někdo, od koho byste to nečekali

Z oblíbené aplikace někdo „sosá“ data, která poté končí v rukách kyberzločinců i společností, jimž jste svolení rozhodně nedali. Narušení soukromí je zřejmé.

ShutterStock

Discord je už nějakou dobu hodně oblíbená komunikační platforma, kterou využívají jak hráči, tak i pracovníci, přičemž slouží mj. jako alternativa třeba ke Skypu. Jenomže čím více uživatelů ji využívá, tím větší zájem o ni jeví kyberzločinci, a dokonce i na první pohled neškodné služby. Třeba jako SpyPet, která prodává i soukromé informace doslova za pár korun.

Více než 10 000 serverů s cílením na jedince

Ačkoliv Discord využívá obrovské množství serverů po celém světě, takže je do jisté míry těžké se na někoho zaměřit, služba SpyPet „skládá střípky“, aby bylo možné zacílit aktivitu ne jednoho konkrétního uživatele. Ve výsledku tedy každý, kdo si zaplatí, dostane informace na jednom místě, aniž by musel procházet přes 10 000 serverů Discordu.

LifeHacker upozorňuje, že tato služba prodává informace za pouhých 5 dolarů (což je asi 120 Kč), přičemž transakce provádí za kryptoměny (včetně bitcoinu, etherea nebo monera). Největší zájem o ně prý mají ti, kteří pracují v oblasti vymáhání práva, případně organizace, které chtějí trénovat systémy umělé inteligence. Což ani v jednom případě není dobré.

Zmíněnou službu testovali odborníci ze 404Media a zjistili, že opravdu funguje tak, jek je inzerováno – sice se prý nepodařilo přímo prokázat, že má SpyPet skutečně data ze 14 000 serverů o 600 milionech uživatelů, o nichž nashromáždil přes 3 miliardy zpráv, ale přesto se jim podařilo data z Discordu zakoupit – za každého uživatele platili 10 centů (2,4 Kč).

„Posvěcená špionáž“, která soukromí (ne)narušuje

Celá záležitost je trochu složitější, i když jak se to vezme – služba SpyPet, ačkoliv ji výše zmíněné zdroje označují za špionážní, ve skutečnosti zprávy přímo nekrade – z Discordu je totiž může legálně stáhnout kdokoliv, stačí, aby byl připojený k danému serveru. SpyPet přitom prochází konstantně všechny servery, díky čemuž má obrovskou databázi.

Teoreticky je to tedy v pořádku, jenomže SpyPet prodává získaná data komukoliv, a to i službám, s nimiž jste v obchodních podmínkách Discordu nikdy nesouhlasili. De facto se tak jedná o zneužívání a nejsme si jistý, zda to ve výsledku není i proti zásadám samotné platformy. Tedy přinejmenším by mělo být v jejím zájmu něčemu takovému zabránit.

SpyPet totiž umí stahovat nejenom veřejné konverzace, ale stejně tak ty soukromé, a to včetně obrázků, odkazů atd. A nelze si myslet, že by následní zájemci využívali data jenom k dobrým účelům – jako vždy v tom budou peníze, a co je horší, mnohým to jistě umožní provádět útoky s cílením na konkrétního uživatele, případně skupinu (třeba hráčů Minecraftu).