Нещодавній витік даних на платформі Discord, що широко використовується для спілкування, призвів до компрометації особистої інформації приблизно 70 000 користувачів. Вкрадені дані включають конфіденційні фотографії посвідчень особи, надані в рамках вікових перевірок. Цей інцидент підкреслює зростання ризиків, пов’язаних з онлайн-верифікацією особистості, і вразливість сторонніх постачальників послуг.
Як Відбувся Витік
Компрометація відбулася через стороннього постачальника служби підтримки, який мав доступ до даних користувачів при обробці апеляцій, пов’язаних із віком. Discord вимагає, щоб користувачі були не молодше 13 років (з більш строгими віковими обмеженнями для певного контенту) і використовує верифікацію документів для дотримання цих правил. Хакери атакували цього постачальника, витягли значний обсяг особистої інформації з метою вимагання.
Discord стверджує, що зловмисники вкрали близько 70 000 фотографій посвідчень особистості, але група кібербезпеки VX-Underground повідомляє, що фактичний обсяг витоку може бути набагато більшим – понад 1,5 терабайта даних, включаючи понад 2,1 мільйона зображень. Discord заперечує ці цифри, називаючи їх частиною спроби здирства. Незалежно від точної кількості, витік є суттєвим.
Що було вкрадено?
Крім фотографій посвідчень особи, скомпрометовані дані включали імена, імена користувачів, адреси електронної пошти та контактні дані, надані службі підтримки. Обмежена інформація про оплату — останні чотири цифри номерів кредитних карток — також була вкрадена, хоча повні дані карток та коди безпеки не торкнулися. Важливо, що паролі та дані аутентифікації залишилися у безпеці.
Цей тип крадіжки, ймовірно, почастішає, оскільки все більше платформ впроваджують суворі закони про верифікацію віку, вимагаючи від користувачів надсилати конфіденційні документи. Щойно ці посвідчення особи зберігаються у базах даних, вони стають привабливою метою хакерів.
Реакція Discord та Вплив на Користувачів
Discord відкликав доступ у стороннього постачальника та стверджує, що співпрацює з правоохоронними органами. Компанія зв’язується з постраждалими користувачами через noreply@discord.com та попереджає про небажані телефонні дзвінки. Однак деякі користувачі повідомляють, що їхні запити на верифікацію віку ігнорувалися протягом кількох тижнів, щоб пізніше отримати повідомлення про витік.
«Discord ігнорував мій запит на верифікацію особи протягом 2 тижнів, а потім повідомив, що той же запит був задіяний у витоку даних», – написав один користувач Reddit.
Цей інцидент підкреслює компроміс між безпекою платформи та захистом даних. Користувачі, які надали посвідчення особи, тепер можуть зіткнутися з підвищеним ризиком крадіжки особистих даних або шахрайства.
Що Повинні Зробити Користувачі
На даний момент користувачі можуть лише відстежувати свої облікові записи на предмет підозрілої активності та включити двофакторну автентифікацію, якщо вона ще не активна. Витік наголошує на необхідності більш надійних заходів безпеки з боку сторонніх постачальників та посиленого захисту даних з боку платформ, таких як Discord.
Цей інцидент служить суворим нагадуванням про те, що навіть здаються безпечними платформи схильні до зламів, особливо коли вони залежать від зовнішніх послуг. Майбутнє верифікації віку в інтернеті вимагатиме більш надійного підходу для захисту даних користувача від експлуатації.
