Pelanggaran keamanan baru-baru ini di Discord, platform komunikasi yang banyak digunakan, telah membahayakan data pribadi sekitar 70,000 pengguna. Informasi yang dicuri termasuk foto identitas sensitif yang dikeluarkan pemerintah, yang diserahkan sebagai bagian dari pemeriksaan verifikasi usia. Insiden ini menyoroti semakin besarnya risiko yang terkait dengan proses verifikasi identitas online dan kerentanan penyedia layanan pihak ketiga.
Bagaimana Pelanggaran Terjadi
Kompromi tersebut berasal dari vendor dukungan pelanggan pihak ketiga yang memiliki akses ke data pengguna untuk pengajuan banding terkait usia. Discord mengharuskan pengguna berusia minimal 13 tahun (dengan batasan usia yang lebih ketat untuk konten tertentu) dan menggunakan verifikasi ID untuk menegakkan aturan ini. Peretas menargetkan vendor ini, mengekstraksi sejumlah besar informasi pribadi dengan tujuan pemerasan.
Discord mengklaim para penyerang mencuri sekitar 70.000 foto identitas, namun kelompok keamanan siber VX-Underground melaporkan bahwa eksfiltrasi sebenarnya mungkin jauh lebih besar—lebih dari 1,5 terabyte data, termasuk lebih dari 2,1 juta gambar. Discord membantah angka-angka ini dan menyebutnya sebagai bagian dari upaya pemerasan. Terlepas dari jumlah pastinya, pelanggaran yang terjadi cukup besar.
Apa yang Dicuri?
Selain foto ID, data yang disusupi termasuk nama, nama pengguna, alamat email, dan detail kontak yang diberikan ke dukungan pelanggan. Informasi penagihan terbatas—empat digit terakhir nomor kartu kredit—juga diambil, meskipun rincian lengkap kartu dan kode keamanan tidak diambil. Yang terpenting, kata sandi dan data autentikasi tetap aman.
Pencurian jenis ini kemungkinan akan menjadi lebih sering terjadi karena semakin banyak platform yang menerapkan undang-undang verifikasi usia yang ketat, yang mengharuskan pengguna untuk mengirimkan dokumen sensitif. Setelah ID ini disimpan dalam database, mereka menjadi target yang menarik bagi peretas.
Respons Discord dan Dampak Pengguna
Discord telah mencabut akses vendor pihak ketiga dan mengklaim bekerja sama dengan penegak hukum. Perusahaan menghubungi pengguna yang terkena dampak melalui [email protected] dan memperingatkan terhadap panggilan telepon yang tidak diminta. Namun, beberapa pengguna melaporkan bahwa permintaan verifikasi usia mereka diabaikan selama berminggu-minggu, dan kemudian diberi tahu tentang pelanggaran tersebut.
“Discord mengabaikan tiket verifikasi ID saya selama 2 minggu hanya untuk memberi tahu saya bahwa tiket yang sama telah terlibat dalam pelanggaran data,” tulis salah satu pengguna Reddit.
Insiden ini menggarisbawahi trade-off antara keamanan platform dan keamanan data. Pengguna yang mengirimkan tanda pengenal kini mungkin menghadapi peningkatan risiko pencurian identitas atau penipuan.
Yang Harus Dilakukan Pengguna
Saat ini, pengguna hanya dapat memantau akun mereka untuk aktivitas mencurigakan dan mengaktifkan otentikasi dua faktor jika belum aktif. Pelanggaran ini menekankan perlunya praktik keamanan yang lebih baik di antara vendor pihak ketiga dan langkah-langkah perlindungan data yang lebih kuat oleh platform seperti Discord.
Insiden ini menjadi pengingat bahwa platform yang tampaknya aman pun rentan terhadap pelanggaran, terutama ketika bergantung pada layanan eksternal. Masa depan verifikasi usia online memerlukan pendekatan yang lebih kuat untuk melindungi data pengguna dari eksploitasi.
