Согласно информации от The Verge, компания Discord сообщила, что один из её сторонних партнёров по обслуживанию клиентов подвергся компрометации со стороны неавторизованной группы, которая пыталась вымогать денежный выкуп.
Хотя злоумышленники не получили прямого доступа к платформе Discord, утечка затронула данные некоторых пользователей, особенно те, которые были предоставлены в службу поддержки клиентов и команду Trust & Safety, включая государственные удостоверения личности, использованные для проверки возраста.
Discord в пресс-релизе отметил, что все пострадавшие будут уведомлены по электронной почте. Среди данных, которые могли быть подвергнуты риску, перечислены имена, имена пользователей Discord, адреса электронной почты, контактная информация, типы платежей, последние четыре цифры номеров кредитных карт (но не CCV или полные номера), история покупок, IP-адреса, сообщения, отправленные в службу поддержки, и «ограниченные корпоративные данные».
Наибольшую озабоченность вызывает утечка ограниченного количества изображений государственных удостоверений личности, предоставленных для проверки возраста, таких как паспорта или водительские удостоверения. Discord добавил, что если ваше удостоверение личности могло быть скомпрометировано, это будет указано в полученном вами сообщении. Примечательно, что пароли, данные аутентификации или сообщения, «кроме тех, что были обсуждены с поддержкой клиентов», не были затронуты. Также Discord сообщил, что доступ скомпрометированного партнёра к системам был отозван.
Если вы недавно не делились информацией с командой поддержки клиентов Discord, вероятнее всего, вас эта утечка не коснулась. Однако, если вы подозреваете, что ваши данные могли быть скомпрометированы, ожидайте электронного письма от Discord. Если ваше удостоверение личности оказалось среди утекших данных, стоит ознакомиться с руководствами по защите от кражи личных данных и утечек от IRS или NCSC.
Эта утечка произошла всего через шесть месяцев после того, как Discord начал требовать проверки возраста в некоторых регионах. Закон о безопасности в интернете в Великобритании сделал такую проверку обязательной, хотя пользователи быстро нашли способ её обойти, используя, например, режим фото в игре Death Stranding. Некоторые штаты США также приняли аналогичные законы.
Этот инцидент с утечкой данных в Discord подчёркивает обеспокоенность и неудовлетворённость людей по всему миру этими политиками — помимо вопросов цензуры, существуют явные риски, связанные с предоставлением сканов и фотографий конфиденциальных данных, таких как государственные удостоверения, компаниям, которые могут быть не в состоянии обеспечить их защиту.
Это событие показывает, что даже крупные компании не застрахованы от утечек данных. Надеюсь, Discord сделает выводы и усилит свою безопасность. Особенно тревожно, что могли пострадать данные удостоверений личности, ведь их восстановление и защита может занять много времени и ресурсов.