Wyciek z Discorda. Do sieci trafiły dane i zdjęcia dokumentów użytkowników

Discord poinformował, że sprawca ataku pozyskał dane użytkowników, którzy kontaktowali się z zespołem Customer Support lub Trust & Safety. Celem akcji było oczywiście, jak to w takich przypadkach bywa, wymuszenie okupu. Pocieszające jest w tym wszystkim to, że sprawcy nie uzyskali bezpośredniego dostępu do samej platformy.

Wśród danych, które mogły zostać skradzione, znalazły się: imiona i nazwiska, nazwy użytkowników, adresy e-mail oraz cztery ostatnie cyfry kart płatniczych. Ponadto w "niewielkiej liczbie przypadków" atakujący mieli dostęp do zdjęć dokumentów tożsamości użytkowników, którzy odwoływali się od weryfikacji wieku. Discord podkreśla, że pełne numery kart płatniczych i hasła nie zostały wykradzione.

Firma zapowiedziała, że osobom dotkniętym naruszeniem bezpieczeństwa systemów zostaną wysłane e-maile informujące, czy ich dokument mógł znaleźć się w zagrożonej wyciekiem puli. Discord odciął również dostęp dotkniętego atakiem podmiotu do systemu zgłoszeń, zgłosił incydent do organów ochrony danych i współpracuje z organami ścigania. Ponadto firma zapowiedziała przegląd systemów wykrywania zagrożeń i procedur bezpieczeństwa dotyczących dostawców wsparcia.

Dla użytkowników, którzy zgłaszali się do obsługi lub Trust & Safety, kluczowe jest uważne zweryfikowanie komunikatu e-mail otrzymanego od Discorda. Jeśli wiadomość zawiera informacje o dostępie do zdjęć dokumentów, należy niestety mieć się na baczności i pomyśleć o wymianie dokumentu. Zresztą, nawet fragmentaryczne dane (np. e-mail, nazwa użytkownika) mogą być wykorzystane w phishingu. Warto również zadbać o jak najlepsze zabezpieczenia konta, czyli np. włączyć uwierzytelnianie dwuskładnikowe.

To już kolejne tego typu zdarzenie, w którym celem jest nie dana platforma, a jej podwykonawcy. Taki model ataku, który jest przeprowadzany pośrednio, przez "łańcuch dostaw", wymaga od firm większej kontroli nad bezpieczeństwem zewnętrznych kontrahentów. A od użytkowników? Cóż, trzymania ręki na pulsie i reagowania na zagrożenia – sami w końcu nie mogą nic innego zrobić. Nic, poza reagowaniem, kiedy ich dane już wyciekną.