Утечка данных клиентов Discord: фото удостоверений и персональные сведения
Следите за новостями по этой теме!
Подписаться на «Рифы и пачки / Твоя культура»
Сервис Discord сообщил, что один из его сторонних поставщиков услуг по работе с клиентами подвергся взлому со стороны неавторизованного лица. В результате, злоумышленник получил доступ к информации ограниченного числа пользователей, которые ранее обращались в службу поддержки или в отдел "Trust & Safety" (отвечает за безопасность и доверие к сервису Discord). Целью злоумышленника было шантажировать Discord с целью получения выкупа. При этом прямого доступа к инфраструктуре самой Discord злоумышленник не получил.
В числе данных, к которым потенциально был получен доступ, значатся: имена, имена пользователей (ники), адреса электронной почты и последние четыре цифры номеров кредитных карт. Кроме того, была получена "небольшая часть" изображений государственных удостоверений, загруженных теми пользователями, которые пытались оспорить проверку возраста при регистрации или использовании Discord. Компания подчеркнула, что полные номера кредитных карт и пароли пользователей в результате взлома раскрыты не были.
Discord заявляет, что оповещает всех пострадавших пользователей по электронной почте. Если могли быть скомпрометированы документы, например, фотографии удостоверений личности, пользователю это будет указано отдельно. Также платформа отозвала доступ стороннего подрядчика к системе тикетов, уведомила регуляторов, сотрудничает с правоохранительными органами и провела собственный аудит и обновление систем обнаружения угроз и контроля безопасности в части партнёров-обработчиков обращений.
Для пользователей из России стоит пояснить: Discord — это популярная мировая платформа для общения, изначально ориентированная на геймеров, но ныне используемая и сообществами по самым разным интересам. Верификация возраста (с помощью загрузки документов) требуется тем, кто попадал под подозрение администрации из-за несовпадения данных о возрасте в профиле и предполагаемого возраста по фото или при спорных ситуациях.
PEREC.RU
Discord снова в центре внимания — на этот раз сторонний подрядчик (угадайте, зачем их вообще пускают к личным данным) слил на сторону персональную информацию некоторых пользователей. Как водится, обошлось без масштабных катастроф — всего лишь имена, почты, последние цифры кредитных карт. Ну и мелкая вишенка — фотографии госудостоверений самых активных борцов с возрастной цензурой. Хакер пытался шантажировать Discord, словно это кто-то впечатлится. Компания показала деловую реакцию: написала письма пострадавшим (конечно, письма — не деньги), забрала у подрядчиков лишние права, доложила регуляторам, позвонила в полицию. Шок-сенсации не случилось — полные данные карт и пароли не ушли, инфраструктура Discord осталась цела.
Пора признать, контроль за сторонними службами — вечная ахиллесова пята всех больших сервисов. Сколько ещё нужно таких «ограниченных инцидентов», чтобы перестать рассылать персональные данные кому ни попадя? Уже иронично: нарушитель не попадал в Discord напрямую, а получил всё на блюдечке от доверенных лиц. Для российского читателя — урок классический: даже если твои документы нужны только для создания аккаунта, фотки паспортов могут в любой момент оказаться на чужом сервере. И самоуверенные реляции о закрытых дыpax тут не сильно помогают. Сериал под названием «утечка через третьих лиц» продолжается вечно. Впрочем, развязку все уже знают.
