В результате масштабной кибератаки на одного из сторонних поставщиков услуг, более 70 000 пользователей Discord могли стать жертвами утечки личных данных, включая сканы государственных удостоверений личности, таких как водительские права и паспорта.

Причина утечки: уязвимость в системе подтверждения возраста

Для соблюдения новых требований законодательства Великобритании и Европейского Союза, таких как Закон о безопасном интернете и Дигитальный сервисный акт, Discord, насчитывающий более 200 миллионов активных пользователей по всему миру, внедрил процедуру подтверждения возраста через стороннюю компанию под названием 5CA. В рамках этой процедуры пользователи должны были предоставить скан своего удостоверения личности, чтобы подтвердить свой возраст.

Эти сканы, полученные во время обращения в службу поддержки Discord, оказались скомпрометированы в результате взлома. Изначально компания сообщила, что пострадала лишь «ограниченная группа пользователей», однако позднее обновление подтвердило, что число пострадавших составляет около 70 000 человек, у которых могли быть раскрыты фотографии их удостоверений.

Масштаб киберинцидента и возможные последствия

Тем не менее, по данным специализированных источников в сфере кибербезопасности, ситуация оказалась гораздо серьезнее. Вскоре после взлома, произошедшего 20 сентября, хакеры имели доступ к системам Discord в течение 58 часов, в ходе которых было украдено около 1.5 терабайт чувствительных данных. Среди них — более 2 миллионов фотографий удостоверений личности, используемых для подтверждения возраста, что затронуло примерно 5,5 миллиона уникальных пользователей и 8,4 миллиона обращений в службу поддержки.

Что именно было скомпрометировано

• Имя, имя пользователя Discord, электронная почта и другие контактные данные, если они были предоставлены службе поддержки
• Некоторая платежная информация, такая как тип оплаты, последние четыре цифры кредитной карты и история покупок, если она связана с аккаунтом
• IP-адреса пользователей
• Сообщения, отправленные в чатах службы поддержки
• Некоторая внутренняя корпоративная информация, включая обучающие материалы и презентации
• Несколько изображений государственных удостоверений личности

Компания Discord подчеркнула, что полные номера кредитных карт и коды CVV не были раскрыты, а также что сообщения, посты и пароли остались в безопасности.

Пострадавшие пользователи получат официальные уведомления по электронной почте и рекомендации о дальнейших действиях.

Действия Discord и рекомендации пользователям

Компания заверила, что принимает все необходимые меры по обеспечению безопасности данных и регулярно проводит проверки своих сторонних систем. Кроме того, Discord уведомила соответствующие органы по защите данных и активно сотрудничает с правоохранительными органами для расследования инцидента.

В будущем пользователям рекомендуется проявлять осторожность при получении подозрительных сообщений или запросов, связанных с личными данными. В службе поддержки Discord готовы оказать дополнительную помощь и ответить на возникающие вопросы.

Компания подчеркнула свою ответственность за защиту личных данных и осознает возможные неудобства, вызванные этим инцидентом.