Uma recente violação de segurança no Discord, plataforma de comunicação amplamente utilizada, comprometeu os dados pessoais de aproximadamente 70 mil usuários. As informações roubadas incluem fotos de identificação confidenciais emitidas pelo governo, que foram enviadas como parte de verificações de idade. Este incidente destaca os riscos crescentes associados aos processos de verificação de identidade online e as vulnerabilidades de prestadores de serviços terceirizados.
Como ocorreu a violação
O compromisso resultou de um fornecedor terceirizado de suporte ao cliente que tinha acesso aos dados do usuário para recursos relacionados à idade. O Discord exige que os usuários tenham pelo menos 13 anos de idade (com limites de idade mais rígidos para determinados conteúdos) e usa verificação de identidade para fazer cumprir essas regras. Os hackers atacaram esse fornecedor, extraindo uma quantidade significativa de informações pessoais com a intenção de extorsão.
Discord afirma que os invasores roubaram cerca de 70.000 fotos de identidade, mas o grupo de segurança cibernética VX-Underground relata que a exfiltração real pode ser muito maior – mais de 1,5 terabytes de dados, incluindo mais de 2,1 milhões de imagens. Discord contesta esses números, chamando-os de parte de uma tentativa de extorsão. Independentemente do número exato, a violação é substancial.
O que foi roubado?
Além das fotos de identificação, os dados comprometidos incluíam nomes, nomes de usuário, endereços de e-mail e detalhes de contato fornecidos ao suporte ao cliente. Informações de cobrança limitadas – os últimos quatro dígitos dos números de cartão de crédito – também foram coletadas, embora os detalhes completos do cartão e os códigos de segurança não tenham sido coletados. Fundamentalmente, as senhas e os dados de autenticação permaneceram seguros.
É provável que esse tipo de roubo se torne mais frequente à medida que mais plataformas implementem leis rígidas de verificação de idade, exigindo que os usuários enviem documentos confidenciais. Uma vez armazenados em bancos de dados, esses IDs se tornam alvos atraentes para hackers.
Resposta do Discord e impacto no usuário
Discord revogou o acesso do fornecedor terceirizado e afirma estar trabalhando com as autoridades. A empresa está entrando em contato com os usuários afetados via [email protected] e alerta contra ligações não solicitadas. No entanto, alguns usuários relatam que suas solicitações de verificação de idade foram ignoradas por semanas, apenas para serem notificados da violação posteriormente.
“O Discord ignorou meu tíquete de verificação de identidade por 2 semanas apenas para me dizer que o mesmo tíquete estava envolvido em uma violação de dados”, escreveu um usuário do Reddit.
O incidente ressalta a compensação entre a segurança da plataforma e a segurança dos dados. Os usuários que enviaram IDs agora podem enfrentar riscos maiores de roubo de identidade ou fraude.
O que os usuários devem fazer
Atualmente, os usuários só podem monitorar suas contas em busca de atividades suspeitas e ativar a autenticação de dois fatores, caso ainda não esteja ativa. A violação enfatiza a necessidade de melhores práticas de segurança entre fornecedores terceirizados e medidas mais fortes de proteção de dados por plataformas como o Discord.
Este incidente serve como um duro lembrete de que mesmo plataformas aparentemente seguras são suscetíveis a violações, especialmente quando dependem de serviços externos. O futuro da verificação de idade online exigirá uma abordagem mais robusta para proteger os dados dos utilizadores contra exploração.
