Недавняя утечка данных на платформе Discord, широко используемой для общения, привела к компрометации личной информации примерно 70 000 пользователей. Украденные данные включают конфиденциальные фотографии удостоверений личности, предоставленные в рамках проверок возраста. Этот инцидент подчеркивает растущие риски, связанные с онлайн-верификацией личности, и уязвимость сторонних поставщиков услуг.
Как Произошла Утечка
Компрометация произошла из-за стороннего поставщика службы поддержки, имевшего доступ к данным пользователей при обработке апелляций, связанных с возрастом. Discord требует, чтобы пользователи были не моложе 13 лет (с более строгими возрастными ограничениями для определенного контента) и использует верификацию по документам для соблюдения этих правил. Хакеры атаковали этого поставщика, извлекли значительный объем личной информации с целью вымогательства.
Discord утверждает, что злоумышленники украли около 70 000 фотографий удостоверений личности, но группа кибербезопасности VX-Underground сообщает, что фактический объем утечки может быть гораздо больше — более 1,5 терабайта данных, включая свыше 2,1 миллиона изображений. Discord оспаривает эти цифры, называя их частью попытки вымогательства. Независимо от точного количества, утечка является существенной.
Что Было Украдено?
Помимо фотографий удостоверений личности, скомпрометированные данные включали имена, имена пользователей, адреса электронной почты и контактные данные, предоставленные службе поддержки. Ограниченная информация об оплате — последние четыре цифры номеров кредитных карт — также была украдена, хотя полные данные карт и коды безопасности не были затронуты. Важно отметить, что пароли и данные аутентификации остались в безопасности.
Этот тип кражи, вероятно, станет более частым, поскольку все больше платформ внедряют строгие законы о верификации возраста, требуя от пользователей отправлять конфиденциальные документы. Как только эти удостоверения личности хранятся в базах данных, они становятся привлекательной целью для хакеров.
Реакция Discord и Влияние на Пользователей
Discord отозвал доступ у стороннего поставщика и утверждает, что сотрудничает с правоохранительными органами. Компания связывается с пострадавшими пользователями через [email protected] и предупреждает о нежелательных телефонных звонках. Однако некоторые пользователи сообщают, что их запросы на верификацию возраста игнорировались в течение нескольких недель, только чтобы позже получить уведомление об утечке.
«Discord игнорировал мой запрос на верификацию личности в течение 2 недель, а затем сообщил, что тот же запрос был задействован в утечке данных», — написал один пользователь Reddit.
Этот инцидент подчеркивает компромисс между безопасностью платформы и защитой данных. Пользователи, предоставившие свои удостоверения личности, теперь могут столкнуться с повышенным риском кражи личных данных или мошенничества.
Что Должны Сделать Пользователи
На данный момент пользователи могут только отслеживать свои учетные записи на предмет подозрительной активности и включить двухфакторную аутентификацию, если она еще не активна. Утечка подчеркивает необходимость более надежных мер безопасности со стороны сторонних поставщиков и усиленной защиты данных со стороны платформ, таких как Discord.
Этот инцидент служит суровым напоминанием о том, что даже кажущиеся безопасными платформы подвержены взломам, особенно когда они зависят от внешних услуг. Будущее верификации возраста в интернете потребует более надежного подхода для защиты пользовательских данных от эксплуатации.
