Niedawne naruszenie bezpieczeństwa danych na platformie Discord, platformie powszechnie używanej do komunikacji, spowodowało naruszenie danych osobowych około 70 000 użytkowników. Skradzione dane obejmują wrażliwe zdjęcia dokumentów tożsamości dostarczonych w ramach kontroli wieku. Ten incydent uwydatnia rosnące ryzyko związane z weryfikacją tożsamości online i podatnością zewnętrznych dostawców usług.
Jak doszło do wycieku
Kompromis nastąpił, ponieważ zewnętrzny dostawca usług wsparcia miał dostęp do danych użytkownika podczas przetwarzania odwołań związanych z wiekiem. Discord wymaga, aby użytkownicy mieli ukończone 13 lat (z bardziej rygorystycznymi ograniczeniami wiekowymi w przypadku niektórych treści) i wykorzystuje weryfikację tożsamości w celu egzekwowania tych zasad. Hakerzy zaatakowali tego dostawcę, wydobywając znaczną ilość danych osobowych w celu wymuszenia.
Discord twierdzi, że napastnicy ukradli około 70 000 zdjęć identyfikacyjnych, jednak grupa cyberbezpieczeństwa VX-Underground podaje, że faktyczna wielkość wycieku mogła być znacznie większa – ponad 1,5 terabajta danych, w tym ponad 2,1 miliona zdjęć. Discord kwestionuje te liczby, nazywając je częścią próby wymuszenia. Niezależnie od dokładnej ilości, wyciek jest znaczny.
Co zostało skradzione?
Oprócz zdjęć identyfikacyjnych zainfekowane dane obejmowały imiona i nazwiska, nazwy użytkowników, adresy e-mail i dane kontaktowe przekazane obsłudze klienta. Skradziono także ograniczone informacje dotyczące płatności — cztery ostatnie cyfry numeru karty kredytowej, chociaż nie miało to wpływu na pełne dane karty ani kody zabezpieczające. Należy pamiętać, że hasła i dane uwierzytelniające pozostają bezpieczne.
Ten rodzaj kradzieży prawdopodobnie stanie się coraz bardziej powszechny, ponieważ coraz więcej platform wdraża rygorystyczne przepisy dotyczące weryfikacji wieku, wymagające od użytkowników przesyłania poufnych dokumentów. Kiedy te tożsamości zostaną zapisane w bazach danych, stają się atrakcyjnym celem dla hakerów.
Reakcja na Discordzie i wpływ na użytkowników
Discord cofnął dostęp zewnętrznemu dostawcy i twierdzi, że współpracuje z organami ścigania. Firma kontaktuje się z użytkownikami, których to dotyczy, pod adresem noreply@discord.com i ostrzega ich o niechcianych połączeniach telefonicznych. Jednak niektórzy użytkownicy zgłaszali, że ich prośby o weryfikację wieku były ignorowane przez tygodnie, by później otrzymać powiadomienie o wycieku.
„Discord ignorował moją prośbę o weryfikację tożsamości przez 2 tygodnie, a następnie zgłosił, że ta sama prośba była związana z naruszeniem danych” – napisał jeden z użytkowników Reddita.
Ten incydent uwypukla kompromis między bezpieczeństwem platformy a ochroną danych. Użytkownicy, którzy podają swój identyfikator, mogą teraz być narażeni na zwiększone ryzyko kradzieży tożsamości lub oszustwa.
Co powinni zrobić użytkownicy
Na razie użytkownicy mogą monitorować swoje konta tylko pod kątem podejrzanej aktywności i włączać uwierzytelnianie dwuskładnikowe, jeśli nie jest jeszcze włączone. Wyciek uwydatnia potrzebę stosowania silniejszych środków bezpieczeństwa ze strony zewnętrznych dostawców i zwiększonej ochrony danych z platform takich jak Discord.
Ten incydent stanowi wyraźne przypomnienie, że nawet pozornie bezpieczne platformy są podatne na ataki hakerskie, zwłaszcza gdy polegają na usługach zewnętrznych. Przyszłość weryfikacji wieku w Internecie będzie wymagała solidniejszego podejścia do ochrony danych użytkowników przed wykorzystaniem.
