Discord potwierdził, że w wyniku niedawnego incydentu bezpieczeństwa skradziono zdjęcia rządowych dokumentów tożsamości około 70 tys. użytkowników. Firma podkreśla, że nie doszło do włamania do samego Discorda – atakujący uzyskali dostęp do danych u zewnętrznego dostawcy obsługi klienta, z którego korzysta platforma. O sprawie poinformowano 3 października, a 8 października uzupełniono komunikat o liczbę potencjalnie ujawnionych zdjęć dokumentów.
Według Discorda narażone są przede wszystkim osoby, które kontaktowały się z Customer Support lub Trust & Safety. W bazie obsługi klienta mogły znajdować się m.in. imiona i nazwiska, nazwy użytkowników Discorda, adresy e-mail, dane kontaktowe, ograniczone informacje rozliczeniowe (np. typ płatności i ostatnie cztery cyfry karty), adresy IP oraz treść korespondencji z zespołami wsparcia. Część użytkowników, którzy składali odwołania związane z weryfikacją wieku, mogła mieć ujawnione zdjęcia dokumentów tożsamości; to właśnie z tej puli pochodzi wskazane ~70 tys. rekordów.
Równolegle część badaczy i źródeł z podziemia cyberprzestępczego twierdzi, że skala szkód jest większa. Grupa opisana przez projekt Vx-Underground mówi o 1,5 TB danych i 2 185 151 zdjęciach dokumentów używanych do weryfikacji wieku oraz o próbie wyłudzenia okupu od Discorda. Firma odrzuca te liczby jako element presji ze strony napastników i podtrzymuje własne ustalenia dotyczące około 70 tys. zdjęć.
Zendesk w tle
W tle incydentu przewija się nazwa Zendesk – popularnego dostawcy oprogramowania do obsługi zgłoszeń. Discord w oficjalnych komunikatach mówi o „usłudze strony trzeciej” i o natychmiastowym odebraniu dostępu temu dostawcy po wykryciu ataku. Zendesk przekazał „SecurityWeek”, że jego platforma nie miała podatności wykorzystanej w tym zdarzeniu, a własne systemy nie zostały naruszone. Niezależnie od sporu o szczegóły techniczne, całość wpisuje się w szerszy łańcuchowe ryzyko bezpieczeństwa wynikające z korzystania z zewnętrznych podwykonawców.
Discord informuje, że kontaktuje się z poszkodowanymi mailowo z adresu noreply@discord.com
, współpracuje z organami ścigania oraz prowadzi audyt zabezpieczeń u podmiotów trzecich. Jeśli ktoś otrzymał prośbę o przesłanie dokumentu w przeszłości lub korespondował z działem wsparcia, powinien zwrócić uwagę na możliwe próby phishingu podszywające się pod oficjalne powiadomienia. Firma zapewnia, że nie komunikuje się w tej sprawie telefonicznie, a hasła i pełne numery kart nie były częścią naruszenia.
To nie pierwszy epizod związany z łańcuchami dostaw w ekosystemie wsparcia klientów Discorda. W maju 2023 r. platforma ujawniła incydent dotyczący „kolejki zgłoszeń agenta wsparcia u zewnętrznego usługodawcy”, w wyniku którego naruszono treść wybranych zgłoszeń i załączników. Ówczesne doniesienia również wskazywały na rozwiązania Zendesk.
Na dziś oś sporu dotyczy skali i zakresu wycieku: Discord przekonuje o „niewielkiej liczbie” obrazów ID oraz identyfikuje około 70 tys. użytkowników, natomiast sprawcy próbują budować narrację o wielomilionowej puli plików i jednocześnie wymuszają okup. Bez względu na to, która wersja okaże się bliższa prawdy, sprawa pokazuje, że weryfikacja wieku i inne procesy wymagające zbierania kopii dokumentów stają się wyjątkowo wrażliwym odcinkiem bezpieczeństwa usług internetowych – i to nawet wtedy, gdy formalnie realizują je partnerzy zewnętrzni.
Sprawdź też: