Hackerek azt állítják, hogy elloptak akár 2,1 millió fényképes azonosítót az 1,5TB Discord adatszegésben
Hackerek, akik felelősséget vállalnak a nagymértékű megsértéséért a Discordnál tovább fokozták fenyegetésüket azzal, hogy kijelentették, hogy 1,5 terabájtnyi korhitelesítési fotó van a birtokukban, amely 2 185 151 képet tartalmaz kormányzati személyazonosító igazolványokról, például útlevelekről, jogosítványokról, valamint a felhasználók által az automatikus korellenőrzési fellebbezések során benyújtott szelfikről.
A szóban forgó hackerek az ellopott felhasználói adatokat arra használják fel, hogy váltságdíjat zsaroljanak ki a Discordtól. A biztonsági rés széles körben riadalmat keltett a személyazonosság-lopás és az adathalászat kockázatai miatt, különösen annak fényében, hogy a Discord több mint 250 millió havi aktív felhasználónak ad otthont.
A helyzetről először olyan kiberbiztonsági nyomkövetők számoltak be, mint a Hackmanac és a Discord Previews online. Az életkor-ellenőrzési rendszer csak felerősíti az adatmegőrzési gyakorlatokkal kapcsolatos aggodalmakat és az életkor-ellenőrzésre vonatkozó szabályozási nyomást olyan régiókban, mint az Egyesült Királyság és Ausztrália.
A biztonsági rés szeptember 20-ra nyúlik vissza, amikor egy illetéktelen személy feltörte a Discord harmadik féltől származó ügyfélszolgálati szolgáltatóját, a Zendesket, hozzáférést biztosítva a jegyrendszerekhez anélkül, hogy közvetlenül beszivárgott volna a Discord központi infrastruktúrájába.
Discord nem sokkal később észlelte az anomáliát, és október 3-án nyilvánosan bejelentette az incidenst, kijelentve, hogy csak korlátozott számú felhasználó volt veszélyben, akik kapcsolatba léptek az ügyfélszolgálattal vagy a bizalmi és biztonsági csapatokkal.
A hivatalos frissítésben, a vállalat részletezte a betörés terjedelmét, megemlítve, hogy a támadó célja kifejezetten az volt, hogy zsarolás céljából adatokat nyerjen ki, egy olyan kiszámított lépés, amely más ágazatokban is hullámokat vetett, például a kriptopénzek terén, ahol a Zendesk olyan tőzsdéket szolgál ki, mint a BtcTurk és a HTX, amelyek korábban mindketten több millió dolláros hackertámadások áldozatai voltak.
A Discord sajtóközleménye szerint a kompromittált információk nevekből, felhasználónevekből, e-mail címekből és egyéb, az ügyfélszolgálattal megosztott elérhetőségi adatokból állnak, beleértve a részleges számlázási adatokat, mint például a fizetési típusok, a hitelkártyák utolsó négy számjegye és a vásárlási előzmények, IP-címek, az ügyfélszolgálati ügynökökkel folytatott beszélgetések és korlátozott belső anyagok, például képzési dokumentumok és prezentációk.
A kiszivárgott adatokból hiányoznak a teljes hitelkártyaszámok, CVV-kódok, magánüzenetek és jelszavak. Míg a Discord elismerte, hogy a hackerek hozzáférést szereztek "kis számú kormányzati azonosító képhez" az életkor-ellenőrzési fellebbezésekből, a hackerek azt állítják, hogy több mint kétmillió ilyen fájljuk van, amelyeket potenciálisan az automatikus törlések előtt gyűjtöttek be.
A Discord megkezdte az érintetteknek szóló e-mailek küldését, és arra kéri a felhasználókat, hogy maradjanak éberek minden gyanús kommunikációval kapcsolatban.
