Μια παραβίαση δεδομένων σε τρίτο πάροχο υπηρεσιών εξυπηρέτησης πελατών αποκάλυψε προσωπικά στοιχεία χρηστών του
Discord, συμπεριλαμβανομένων ονομάτων, διευθύνσεων email και ενός μικρού αριθμού σαρωμένων κρατικών ταυτοτήτων με φωτογραφία.
Το περιστατικό δεν επηρέασε τα κύρια συστήματα του Discord και η μη εξουσιοδοτημένη πρόσβαση περιορίστηκε σε δεδομένα που διαχειρίζονται οι ομάδες υποστήριξης της εταιρείας.
Discord: Πρόσβαση μέσω τρίτου συνεργάτη
Η Discord ανακοίνωσε ότι εντόπισε πρόσφατα πως ένα μη εξουσιοδοτημένο άτομο απέκτησε πρόσβαση στο σύστημα διαχείρισης αιτημάτων υποστήριξης πελατών, παραβιάζοντας έναν από τους τρίτους συνεργάτες της.
Η εταιρεία διευκρίνισε ότι δεν πρόκειται για άμεση παραβίαση των δικών της διακομιστών. Σύμφωνα με πληροφορίες, ο στόχος του επιτιθέμενου ήταν να εκβιάσει οικονομικά την εταιρεία. Μόλις εντοπίστηκε το περιστατικό, η Discord αφαίρεσε αμέσως την πρόσβαση του παραβιασμένου παρόχου, ώστε να αποτρέψει περαιτέρω κακόβουλη δραστηριότητα.
Η εταιρεία έχει ξεκινήσει εσωτερική έρευνα, συνεργάζεται με κορυφαία εταιρεία ψηφιακής εγκληματολογίας και βρίσκεται σε επαφή με τις αρμόδιες αρχές επιβολής του νόμου.
Τι δεδομένα διέρρευσαν
Τα δεδομένα που εκτέθηκαν αφορούν χρήστες που είχαν έρθει σε επαφή με την ομάδα Υποστήριξης ή Trust & Safety του Discord. Οι πληροφορίες που ενδέχεται να έχουν παραβιαστεί περιλαμβάνουν:
- Πλήρη ονόματα
- Usernames στο Discord
- Διευθύνσεις email
- Άλλα στοιχεία επικοινωνίας που παρασχέθηκαν κατά την υποστήριξη
Επιπλέον, διέρρευσαν περιορισμένα στοιχεία πληρωμής, όπως ο τύπος πληρωμής, ιστορικό αγορών και τα τέσσερα τελευταία ψηφία του αριθμού πιστωτικής κάρτας.
Η παραβίαση περιλάμβανε επίσης τις διευθύνσεις IP των χρηστών και το περιεχόμενο των μηνυμάτων που αντάλλαξαν με τους εκπροσώπους υποστήριξης.
Ακόμη πιο σοβαρό είναι το γεγονός ότι διέρρευσαν κρατικές ταυτότητες με φωτογραφία, όπως άδειες οδήγησης ή διαβατήρια, για έναν μικρό αριθμό χρηστών που τις είχαν υποβάλει για λόγους επαλήθευσης ηλικίας.
Τι δε διέρρευσε
Η Discord διαβεβαίωσε ότι δεν παραβιάστηκαν:
- Πλήρεις αριθμοί πιστωτικών καρτών
- Κωδικοί CVV
- Ιδιωτικά μηνύματα μεταξύ χρηστών
- Κωδικοί πρόσβασης λογαριασμών
Ενέργειες από το Discord
Σε απάντηση στην επίθεση, η Discord:
- Ενημέρωσε τις αρμόδιες αρχές προστασίας δεδομένων
- Επανεξετάζει τα μέτρα ασφαλείας όλων των τρίτων παρόχων της
- Επικοινωνεί απευθείας μέσω email με όλους τους επηρεαζόμενους χρήστες
Τα επίσημα emails αποστέλλονται από τη διεύθυνση noreply@discord.com. Η εταιρεία προειδοποιεί ότι δε θα επικοινωνήσει τηλεφωνικά και καλεί τους χρήστες να είναι προσεκτικοί απέναντι σε πιθανά phishing μηνύματα.
Συστάσεις προς τους χρήστες
Οι επηρεαζόμενοι χρήστες καλούνται να παραμείνουν σε επιφυλακή και να ελέγχουν προσεκτικά κάθε ύποπτο μήνυμα ή επικοινωνία που λαμβάνουν.
Η Discord υπογραμμίζει τη δέσμευσή της στην προστασία των προσωπικών δεδομένων των χρηστών και λαμβάνει περαιτέρω μέτρα για τον έλεγχο των συνεργαζόμενων παρόχων, ώστε να αποτραπούν παρόμοια περιστατικά στο μέλλον.
