A Discord megsértése 70,000 kormányzati azonosítókat tesz ki: mi ment rosszul és ki volt érintett

A Discord nyilvánosságra hozta a közelmúltban történt biztonsági rés lehetséges mértékét. A vállalat egy frissített sajtóközleményben közölte, hogy a platformjának 70 ezer tagjának kormányzati azonosítóját veszélyeztethették.

Az adatvédelmi incidens azután történt, hogy a Discord is csatlakozott azon technológiai cégek növekvő számához, amelyek arra kérik ügyfeleiket, hogy jogosítványuk vagy kormányzati igazolványuk bemutatásával igazolják, hogy megfelelnek a minimális életkori követelményeknek. A Discord egy olyan rendszert vezetett be, amelynek keretében a felhasználók a szelfijüket adják meg, amikor bejelentik, hogy kiskorúak a platformon.

A Discord szerint a jogsértés egy meg nem nevezett harmadik fél szolgáltatásán keresztül történt, amelyet az ügyfélszolgálatának támogatására használ. Csak azok a felhasználók érintettek, akik az ügyfélszolgálattal vagy a Trust & Safety csapattal kommunikáltak. Azt is közölte, hogy csak a csapatokkal megosztott ügyféladatok voltak veszélyben.

A közlemény részben így szól: "A közelmúltban felfedeztünk egy incidenst, amelyben egy illetéktelen fél veszélyeztette a Discord egyik harmadik fél ügyfélszolgálati szolgáltatóját. Az illetéktelen fél ezután korlátozott számú olyan felhasználó adataihoz jutott hozzá, akik az ügyfélszolgálatunkon és/vagy a Trust & Safety csapatokon keresztül léptek kapcsolatba a Discorddal"

A Discord kikapcsolta a szolgáltató hozzáférését a jegykezelő rendszeréhez, miközben a bűnüldöző szervekkel közösen folytatja az incidens kivizsgálását.

A hivatalos közlemény szerint a következő ügyféladatok kerülhettek veszélybe:

• Név, Discord felhasználónév, e-mail cím és egyéb elérhetőségek
• Korlátozott számlázási adatok, például a fizetés típusa, a hitelkártya utolsó négy számjegye és a vásárlási előzmények
• IP-címek
• Üzenetek az ügyfélszolgálati ügynökkel
• Korlátozott vállalati adatok (képzési anyagok, belső prezentációk)
• Kis számú kormányzati azonosító kép

A Discord felveszi a kapcsolatot az érintett felhasználókkal, akik a noreply @ discord.com címre küldött e-mailt kapnak. A vállalat figyelmeztet, hogy a gyanútlan áldozatok védelme érdekében telefonos kapcsolatfelvételre nem kerül sor.

Mivel egyre több vállalat próbál megfelelni a helyi jogi előírásoknak azzal, hogy a szolgáltatásaikhoz való hozzáféréshez személyazonosító igazolványokat kér, sok felhasználóban felmerül a kérdés, hogy mit tehetnek, hogy megvédjék magukat az ilyen jogsértésektől. Néhányan a VPN-ek mellett döntöttek, hogy elrejtsék fizikai tartózkodási helyüket, de számos népszerű weboldal már most is korlátozza a VPN-ekhez kapcsolódó IP-címeket.