Nedávné porušení dat na platformě Discord, která je široce používána pro komunikaci, mělo za následek ohrožení osobních údajů přibližně 70 000 uživatelů. Odcizená data zahrnují citlivé fotografie průkazů poskytnutých v rámci kontroly věku. Tento incident poukazuje na rostoucí rizika spojená s online ověřováním identity a zranitelnost poskytovatelů služeb třetích stran.
Jak k úniku došlo
Ke kompromisu došlo kvůli tomu, že poskytovatel podpory třetí strany měl přístup k uživatelským datům při zpracování odvolání souvisejících s věkem. Discord vyžaduje, aby uživatelé byli starší 13 let (s přísnějšími věkovými omezeními pro určitý obsah) a k vynucení těchto pravidel používá ověření pomocí ID. Hackeři zaútočili na tohoto dodavatele a vytěžili z něj značné množství osobních údajů za účelem vydírání.
Discord tvrdí, že útočníci ukradli asi 70 000 ID fotografií, ale skupina kybernetické bezpečnosti VX-Underground uvádí, že skutečný objem úniku by mohl být mnohem větší – více než 1,5 terabajtu dat, včetně více než 2,1 milionu obrázků. Discord tyto údaje zpochybňuje a označuje je za součást pokusu o vydírání. Bez ohledu na přesné množství je únik významný.
Co bylo ukradeno?
Kromě průkazových fotografií obsahovala ohrožená data jména, uživatelská jména, e-mailové adresy a kontaktní informace poskytnuté zákaznické podpoře. Omezené platební údaje – poslední čtyři číslice čísel kreditních karet – byly také odcizeny, ačkoli úplné informace o kartě a bezpečnostní kódy nebyly ovlivněny. Je důležité si uvědomit, že hesla a autentizační data zůstávají v bezpečí.
Tento typ krádeží se pravděpodobně stane běžnějším, protože více platforem zavádí přísné zákony na ověřování věku, které vyžadují, aby uživatelé předkládali citlivé dokumenty. Jakmile jsou tyto identity uloženy v databázích, stávají se atraktivním cílem pro hackery.
Neshodná reakce a dopad na uživatele
Společnost Discord zrušila přístup poskytovateli třetí strany a tvrdí, že spolupracuje s orgány činnými v trestním řízení. Společnost kontaktuje postižené uživatele prostřednictvím [email protected] a varuje je před nechtěnými telefonními hovory. Někteří uživatelé však hlásili, že jejich žádosti o ověření věku byly týdny ignorovány, aby později obdrželi oznámení o úniku.
„Discord ignoroval moji žádost o ověření identity po dobu 2 týdnů a pak oznámil, že stejná žádost byla zapojena do porušení dat,“ napsal jeden uživatel Redditu.
Tento incident zdůrazňuje kompromis mezi zabezpečením platformy a ochranou dat. Uživatelé, kteří poskytnou své ID, mohou nyní čelit zvýšenému riziku krádeže identity nebo podvodu.
Co by měli uživatelé dělat
Prozatím mohou uživatelé sledovat své účty, zda neobsahují podezřelou aktivitu, a povolit dvoufaktorové ověřování, pokud již není povoleno. Únik zdůrazňuje potřebu silnějších bezpečnostních opatření od poskytovatelů třetích stran a vylepšené ochrany dat z platforem, jako je Discord.
Tento incident slouží jako ostrá připomínka, že i zdánlivě bezpečné platformy jsou náchylné k hackerům, zvláště když se spoléhají na externí služby. Budoucnost online ověřování věku bude vyžadovat robustnější přístup k ochraně uživatelských dat před zneužitím.
